Hasta 29 modelos diferentes de enrutadores de DrayTek han sido identificados como afectados por una nueva vulnerabilidad crítica de ejecución remota de código no autenticado que, si se explota con éxito, podría comprometer completamente el dispositivo y el acceso no autorizado a la red más amplia.
«El ataque se puede realizar sin la interacción del usuario si la interfaz de administración del dispositivo se ha configurado para estar orientada a Internet», dijo Philippe Laulheret, investigador de Trellix. dijo. «También se puede realizar un ataque con un solo clic desde dentro de la LAN en la configuración predeterminada del dispositivo».
Archivada bajo CVE-2022-32548, la vulnerabilidad recibió la calificación de gravedad máxima de 10.0 en el sistema de puntuación CVSS, debido a su capacidad para permitir que un adversario tome el control de los enrutadores por completo.
En esencia, la deficiencia es el resultado de una falla de desbordamiento de búfer en la interfaz de administración web («/cgi-bin/wlogin.cgi»), que puede ser armada por un actor malicioso al proporcionar información especialmente diseñada.
«La consecuencia de este ataque es la adquisición del llamado ‘DrayOS’ que implementa las funcionalidades del enrutador», dijo Laulheret. «En los dispositivos que tienen un sistema operativo Linux subyacente (como el Vigor 3910), es posible pasar al sistema operativo subyacente y establecer un punto de apoyo confiable en el dispositivo y la red local».
Se dice que más de 200,000 dispositivos del fabricante taiwanés tienen el servicio vulnerable actualmente expuesto en Internet y no requerirían la interacción del usuario para ser explotados.
La violación de un dispositivo de red como Vigor 3910 no solo podría dejar una red abierta a acciones maliciosas como el robo de credenciales y propiedad intelectual, actividad de botnet o un ataque de ransomware, sino que también podría causar una condición de denegación de servicio (DoS).
La revelación se produce poco más de un mes después de que surgiera que los enrutadores de ASUS, Cisco, DrayTek y NETGEAR están siendo atacados por un nuevo malware llamado ZuoRAT que tiene como objetivo las redes de América del Norte y Europa.
Si bien no hay signos de explotación de la vulnerabilidad en la naturaleza hasta el momento, se recomienda aplicar el parches de firmware tan pronto como sea posible para protegerse contra amenazas potenciales.
«Los dispositivos de borde, como el enrutador Vigor 3910, viven en el límite entre las redes internas y externas», señaló Laulheret. «Como tales, son un objetivo principal para los ciberdelincuentes y los actores de amenazas por igual. La violación remota de los dispositivos de borde puede llevar a un compromiso total de la red interna de las empresas».