agcreativelab – Inventory.adobe.com
Netzwerk-Hardware-Händler hat eine nicht authentifizierte RCE-Schwachstelle in einem Routerpaar seiner Vigor-Reihe geschlossen, nachdem er von Trellix-Forschern gewarnt wurde
Durch
- Alex Scroxton, Sicherheitsredakteur
Veröffentlicht: 03. August 2022 5:00
Tonnen von Tausenden von Kunden eines DrayTek-Paares für Minuten- und Heimarbeit (SOHO ) Router wollen ihre Geräte jetzt korrekt patchen, nachdem eine nicht authentifizierte RCE-Schwachstelle (Far Flung Code Execution) im DrayTek Vigor 3910 und 28 diversifizierten Objekten, die Teil der identischen Codebasis sind, offengelegt wurde.
Die Schwachstelle, der CVE- 2022-32548, früher vom Personal der Trellix (ehemals McAfee und FireEye) Risk Labs Vulnerability Study realisiert und nicht gepatcht, wird die resultierende Angriffskette perfo sein ohne Interaktion mit dem Client, wenn die Verwaltungsschnittstelle des Tools nicht mit dem Web verbunden ist. Ein Angreifer könnte möglicherweise zusätzlich einen Ein-Klick-Angriff innerhalb der lokalen Hausgemeinschaft (LAN) innerhalb der Standardkonfiguration des Tools erfinden.
Innerhalb der Tötung endet die Angriffskette in einer kräftigen Kompromittierung des Werkzeugs und des Unbefugten Zugriff auf interne Quellen ableiten, was zu beliebigen Ergebnissen führt, bis hin zu und in Verbindung mit Datendiebstahl und Ransomware-Einsatz.
Nach Angaben von Shodan könnte es vielleicht sogar noch mehr als 700.000 geneigte Personen geben Geräte in freier Wildbahn, und über 250.000 von ihnen könnten in Großbritannien gefunden werden. Trellix schätzt, dass von der Gesamtmenge 200.000 dem ersten beschriebenen Angriff zugeneigt sind und eine riesige Auswahl an zusätzlichen dem zweiten.
Selbst die Annahme, dass offengelegte Schwachstellen in IT-Hardware fest auf das SOHO-Segment ausgerichtet sind, könnte vielleicht zusätzlich nicht mehr Auch wenn sie jetzt so schädlich erscheinen wie etwas, das Log4Shell oder ProxyLogon liebt, werden sie genauso wirkungsvoll sein, insbesondere angesichts der Häufigkeit von weit entfernten Arbeitsplätzen, die dazu geführt hat, dass viele Organisationen in Verbindung mit Bergunternehmen mehr auf die Client-IT angewiesen sind als ihre eigene Sicherheitsgruppen würden es lieben. Nun überrascht es nicht, dass böswillige Akteure dies wissen.
Unparteiisch, nicht mehr allzu lange in der Vergangenheit veröffentlichte die US Cybersecurity and Infrastucture Security Company (CISA) eine Empfehlung, in der die durch Gebote subventionierte Ausnutzung von SOHO-Routern durch entwickelte chronische Bedrohungen (APT ) Akteure, die mit den chinesischen Behörden in Verbindung stehen – und unter den Schwachstellen in der CISA-Liste war früher ein Computervirus in DrayTek-Geräten.
Douglas McKee, wichtiger Ingenieur und Leiter der Schwachstellenforschung
Hier weiter zum Artikel
DrayTek,patcht
