Los investigadores de Trellix descubrieron un error crítico de RCE en aproximadamente 29 modelos de enrutadores comerciales DrayTek, lo que pone en riesgo a cientos de miles de personas que los usan.
El error de RCE señalado es un problema de desbordamiento de búfer en la página de inicio de sesión y no necesita la intervención manual del actor de amenazas, pero se puede piratear a través de Internet. DrayTek lanzó parches para todos los modelos afectados e insta a los usuarios a actualizarlos lo antes posible para mantenerse seguros.
Error RCE con estado crítico
Los enrutadores comerciales DrayTek son algunos de los populares que aumentaron considerablemente las ventas en medio de la pandemia, ya que la mayoría de las personas se ven obligadas a trabajar desde casa. Mientras atienden la necesidad de conectividad, investigadores de Trellix manchado un error crítico de RCE en más de 29 modelos de enrutadores DrayTek como se muestra a continuación;
- Vigor3910
- Vigor1000B
- Serie Vigor2962
- Serie Vigor2927
- Serie Vigor2927 LTE
- Serie Vigor2915
- Vigor2952 / 2952P
- Serie Vigor3220
- Serie Vigor2926
- Serie Vigor2926 LTE
- Serie Vigor2862
- Serie Vigor2862 LTE
- Serie Vigor2620 LTE
- VigorLTE 200n
- Serie Vigor2133
- Serie Vigor2762
- Vigor167
- Vigor130
- VigorNIC 132
- Vigor165
- Vigor166
- Serie Vigor2135
- Serie Vigor2765
- Serie Vigor2766
- Vigor2832
- Serie Vigor2865
- Serie Vigor2865 LTE
- Serie Vigor2866
- Serie Vigor2866 LTE
Rastreado como CVE-2022-32548, este error RCE tiene una calificación de 10/10 en la escala de gravedad, ya que no necesita ninguna intervención del objetivo para verse comprometido. Un actor de amenazas puede piratear los enrutadores DrayTek en cuestión a través de Internet y LAN.
Los investigadores de una búsqueda general de Shodan detectaron más de 700 000 dispositivos DrayTek en línea, la mayoría ubicados en el Reino Unido, Vietnam, los Países Bajos y Australia. También notaron el problema como un desbordamiento del búfer en la página de inicio de sesión de la interfaz de administración web de DrayTek.
Un actor de amenazas puede enviar un par de credenciales especialmente diseñadas como cadenas codificadas en base64 en los campos de inicio de sesión y activar la falla para hacerse cargo del dispositivo. Si bien los investigadores confirmaron que al menos 200 000 enrutadores son vulnerables a esta falla, el resto de los 500 000 dispositivos detectados también podrían ser vulnerables de alguna forma.
Después de informar, DreyTek lanzó rápidamente las actualizaciones de seguridad para todos los modelos en cuestión e insta a los usuarios a parchearlos de inmediato. Todo lo que necesita hacer es verificar el centro de actualización de firmware del proveedor, encuentre la última versión para su modelo y actualice. Aquí está un guía de DrayTek sobre cómo hacerlo.
