Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Beratung

14 Fehler in DrayTek Vigor Routern aufgedeckt: Admin-Schnittstellen sind bei großen ISPs weit verbreitet [CVE-2024-41592]

Datum der Offenlegung: 2024-10-02

Insgesamt 14 Sicherheitslücken, die DrayTek Vigor Router betreffen, wurden gestern in einem Bericht von Forescout. Die Schwachstellen wurden wie folgt eingestuft: 2 als kritisch, 9 als hochgradig und 3 als mittelgradig. Die meisten dieser Schwachstellen befinden sich in DrayTek VigorConnect, der Web-Kontrollschnittstelle für Vigor-Router.

Schauen wir uns die schwerwiegendste Sicherheitslücke an, CVE-2024-41592die den maximalen CVSS-Score von 10.0 erhalten hat. Es handelt sich um einen Pufferüberlauf in der Funktion GetCGI() der VigorConnect Web UI, der durch das Senden eines speziell gestalteten, übermäßig langen Abfrage-Strings an eine der CGI-Seiten ausgelöst werden kann.

Wenn CVE-2024-41592 einzeln ausgenutzt wird, kann ein Bedrohungsakteur möglicherweise einen Denial of Service verursachen. Bei einer Verkettung mit CVE-2024-41585der zweitschwersten Schwachstelle, bei der es sich um einen Fehler bei der Injektion von Betriebssystembefehlen handelt, ist es möglich, Remote-Root-Zugriff auf das Host-Betriebssystem zu erlangen. Diese Exploit-Kette betrifft nur die Vigor-Router-Modelle 3910 und 3912.

Wenn ein Router kompromittiert ist, könnte ein Bedrohungsakteur ihn nutzen, um das Netzwerk zu erkunden und sich auf andere Geräte im Netzwerk zu bewegen, Malware zu installieren oder Botnet-Aktivitäten zu starten.

Feld Einzelheiten
CVE-ID CVE-2024-41592 - CVSS 10.0 (Kritisch)
Schwachstelle Beschreibung Pufferüberlauf in der Funktion "GetCGI()" der VigorConnect Web UI kann zu DoS oder RCE führen
Datum der Offenlegung 2. Oktober 2024
Betroffene Vermögenswerte DrayTek VigorConnect, die webbasierte Steuerungsoberfläche für Vigor Router
Anfällige Firmware-Versionen  Vigor1000B, Vigor2962, Vigor3910, Vigor3912, Vigor165, Vigor166, Vigor2135, Vigor2763, Vigor2765, Vigor2766, Vigor2865, Vigor2866, Vigor2915, Vigor2620, VigorLTE200, Vigor2133, Vigor2762, Vigor2832, Vigor2860, Vigor2925, Vigor2862, Vigor2926, Vigor2952, Vigor3220
PoC verfügbar? Ja
Verwertungsstatus Derzeit ist keine Ausnutzung dieser neu bekannt gewordenen CVEs bekannt, aber 4 ältere CVEs, die verschiedene DrayTek-Router betreffen, sind in CISA KEV enthalten.
Patch-Status Patches sind für alle betroffenen Geräte verfügbar, einschließlich der EOL-Firmware-Versionen (siehe Tabelle am Ende für eine vollständige Liste der Patches)

DrayTek ist ein in Taiwan ansässiger Hersteller von Netzwerkausrüstung. Die Vigor-Router des Unternehmens werden weltweit von kleinen bis mittleren Unternehmen und Privatkunden eingesetzt.

Vigor-Router waren in der Vergangenheit bereits Ziel von Angriffen. Erst letzten Monat berichtete das FBI über von China gesponserte Botnet-Aktivitäten die 3 ältere CVEs in DrayTek-Routern ausnutzten. Letztes Jahr hat der chinesische staatlich geförderte Akteur Volt Typhoon beobachtet, wie er ungeschützte SOHO-Netzwerkgeräte, darunter auch DrayTek-Geräte, für Angriffe ausnutzte.

Beispiel VigorConnect Admin Interface im Web

Netzwerk-Administrationsschnittstellen werden von Bedrohungsakteuren häufig als erste Zugangspunkte genutzt. Wenn diese Schnittstellen im öffentlichen Internet offengelegt werden, sind sie leicht auffindbar und werden aufgrund der Fülle an Informationen, die sie bereitstellen, häufig ausgenutzt. Die Kompromittierung einer Verwaltungsschnittstelle kann unbefugten Zugang zu größeren Netzwerken gewähren, was sie für die Netzwerkerkundung und weitere Angriffe wertvoll macht. Die CISA hat in der Vergangenheit Richtlinien herausgegeben, wie zum Beispiel Verbindliche Operative Direktive 23-02die von den Bundesbehörden verlangt, diese vernetzten Verwaltungsschnittstellen vor dem öffentlichen Internet zu schützen.

Diese Verwaltungsschnittstellen sollten außerhalb lokaler Netze nicht direkt online zugänglich sein, sondern durch Zugangskontrollen wie Firewalls oder VPNs geschützt werden.

Lassen Sie uns den digitalen Fußabdruck der exponierten DrayTek Vigor-Router untersuchen.

Censys Blickwinkel

Zum Zeitpunkt der Erstellung dieses Berichts hat Censys 751,801 gefährdete DrayTek Vigor-Router online. Diese Geräte befinden sich überwiegend im Vereinigten Königreich, gefolgt von Vietnam, den Niederlanden und Taiwan, was mit den Ergebnissen des ursprünglichen Berichts übereinstimmt.

Von diesen, 421,476 Geräte die VigorConnect-Admin-UI im Web.

Karte aller öffentlich zugänglichen VigorConnect Router-Administrationsschnittstellen im Web (erstellt mit kepler.gl)

Die Netze mit der größten Konzentration dieser Verwaltungsschnittstellen sind eine Mischung aus großen nationalen ISPs und regionalen Telekommunikationsanbietern. Angeführt wird die Liste von dem taiwanesischen Unternehmen HINET, was angesichts der Tatsache, dass DrayTek ein taiwanesisches Unternehmen ist, auch Sinn macht.

ASN AS_Name Organisation Land Skala Host-Zahl
3462 HINET Geschäftsgruppe Datenkommunikation HINET Taiwan Großer ISP 41,969
31655 ASN-GAMMATELECOM Gamma Telecom U.K. Bedeutender Telekommunikationsanbieter 35,866
2856 BT-UK-AS BTnet UK Regionales Netz Britische Telekommunikation U.K. Großer ISP 31,959
45899 VNPT-AS-VN VNPT Corp Vietnam Posts and Telecommunications Group Vietnam Großer ISP 31,561
5413 AS5413 Daisy Kommunikation U.K. Bedeutender Telekommunikationsanbieter 21,275
13037 ZEN-AS Zen Internet - UK Zen-Internet U.K. Mittelgroßer ISP 13,147
18403 FPT-AS-AP FPT Telecom Unternehmen FPT Telekommunikation Vietnam Großer ISP 12,132
7552 VIETEL-AS-AP Viettel-Gruppe Viettel-Gruppe Vietnam Großer ISP 11,756
1136 KPN KPN National KPN Niederlande Großer ISP 9,921
3320 DTAG-Internet-Service-Provider-Betrieb Deutsche Telekom AG Deutschland Großer ISP 7,732

Es ist wichtig zu beachten, dass nicht alle beobachteten Router unbedingt anfällig sind, da keine spezifischen Geräteversionen verfügbar waren. Um exponierte VigorConnect-Adminpage-Instanzen in Ihren Netzwerken zu identifizieren, können Sie die folgenden Censys Abfragen verwenden:

Censys Search Abfrage: [Link]

services: (http.response.status_code=200 and http.request.uri:"/weblogin.htm" and (http.response.html_title:"Vigor" or http.response.favicons.md5_hash="208b1c5af9e2cc7d46e3ec5bf4d12001"))

Censys ASM-Abfrage: [Link]

host.services: (http.response.status_code=200 and http.request.uri:"/weblogin.htm" and (http.response.html_title:"Vigor" or http.response.favicons.md5_hash="208b1c5af9e2cc7d46e3ec5bf4d12001")) or web_entity.instances: (http.response.status_code=200 and http.request.uri:"/weblogin.htm" and (http.response.html_title:"Vigor" or http.response.favicons.md5_hash="208b1c5af9e2cc7d46e3ec5bf4d12001")) 

Censys Risikoabfrage: [Link]

risks.name="Exposed DrayTek Vigor Router"

Was kann getan werden?

Es wird empfohlen, die DrayTek-Firmware entsprechend Ihres Gerätemodells zu patchen, entweder über die Weboberfläche oder mit dem Firmware-Upgrade-Dienstprogramm. Es ist eine gute Praxis, Ihre Konfiguration vor dem Patching zu sichern.

Es ist außerdem ratsam, den öffentlichen Fernzugriff auf die VigorConnect Admin-Web-UI zu beschränken und die Zwei-Faktor-Authentifizierung zu aktivieren, um das Risiko eines unbefugten Zugriffs weiter zu senken.

Gerät Modell Festgelegte Versionen EoL?
Vigor1000B, Vigor2962, Vigor3910 4.3.2.8 und 4.4.3.1 Nein
Wachsamkeit3912 4.3.6.1 Nein
Vigor165, Vigor166 4.2.7 Nein
Vigor2135, Vigor2763, Vigor2765, Vigor2766 4.4.5.1 Nein
Vigor2865, Vigor2866, Vigor2915 4.4.5.3 Nein
Vigor2620, VigorLTE200 3.9.8.9 Ja
Vigor2133, Vigor2762, Vigor2832 3.9.9 Ja
Vigor2860, Vigor2925 3.9.8 Ja
Vigor2862, Vigor2926 3.9.9.5 Ja
Vigor2952, Vigor3220 3.9.8.2 Ja

Quelle: Forescout (p.11)

Referenzen

Lösungen für das Management von Angriffsflächen
Mehr erfahren