Los investigadores han identificado 14 nuevas vulnerabilidades en los enrutadores DrayTek Vigor. Esto incluye una falla crítica de ejecución remota de código calificada con 10 sobre 10 en la escala de gravedad CVSS.
DrayTek, un fabricante taiwanés de equipos de red, ofrece enrutadores avanzados con VPN, firewall y administración de ancho de banda para uso doméstico y comercial. Ampliamente implementados en industrias como la atención médica, el comercio minorista y el gobierno, los dispositivos son un objetivo principal para los ciberdelincuentes.
Estas vulnerabilidades plantean amenazas importantes que podrían permitir a los ciberdelincuentes obtener el control de los dispositivos afectados para robar datos confidenciales, implementar ransomware o lanzar ataques de denegación de servicio. Actualmente hay aproximadamente 785.000 enrutadores DrayTek en funcionamiento, principalmente en entornos empresariales.
De manera alarmante, la investigación de Vedere Labs de Forescout reveló que más de 704.000 de estos dispositivos tienen sus interfaces web expuestas a la Internet pública, lo que los hace particularmente vulnerables a la explotación.
A pesar de la advertencia de DrayTek de que solo se debe poder acceder a estos paneles de control desde la red local, esta infracción sigue siendo un riesgo importante.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Detalles técnicos de defectos críticos.
Esta vulnerabilidad no pasa desapercibida para los atacantes malintencionados. Los enrutadores DrayTek han sido constantemente atacados por grupos de amenazas, particularmente la Amenaza Persistente Avanzada (APT) de China.
Impacto de la vulnerabilidad
Según un informe reciente del FBI, los espías del gobierno chino explotaron tres vulnerabilidades en los enrutadores DrayTek para crear una botnet de 260.000 dispositivos. DrayTek ha publicado parches para los 14 CVE en los modelos compatibles y en los de fin de soporte.
Dos de las vulnerabilidades recientemente descubiertas son particularmente graves.
CVE-2024-41592: Esta vulnerabilidad de desbordamiento del búfer en la función GetCGI() de la interfaz de usuario web podría permitir a usuarios no autenticados ejecutar código remoto o provocar una denegación de servicio. Recibió la calificación de gravedad máxima. CVE-2024-41585: Esta falla de inyección de comandos del sistema operativo afecta el binario recvCmd en el firmware, lo que permite ataques de inyección de comandos desde el sistema operativo invitado al sistema operativo host. La puntuación CVSS tiene una calificación de 9,1.
La explotación de estas vulnerabilidades en combinación puede permitir el acceso raíz remoto al sistema operativo host de un dispositivo afectado.
Pasos de mitigación recomendados
Para reducir estos riesgos, recomendamos que los usuarios hagan lo siguiente:
Desactive las funciones de acceso remoto a menos que sea absolutamente necesario. Implemente autenticación de dos factores y listas de control de acceso para acceso remoto, si es necesario. Emplee segmentación de red y políticas de contraseñas seguras. Controle periódicamente su dispositivo para detectar actividades inusuales.
Esta vulnerabilidad afecta a 24 modelos, incluidos Vigor1000B, Vigor2962, Vigor3910 y otros. Algunos de estos modelos admiten altas velocidades de descarga/carga y tienen características de hardware sólidas, lo que los convierte en objetivos atractivos para su uso como servidores de comando y control.
El descubrimiento de estas vulnerabilidades resalta la importancia de que las empresas protejan su infraestructura de red de amenazas cibernéticas cada vez más sofisticadas. Al ser proactivos y aplicar los parches disponibles, las organizaciones pueden protegerse de posibles vulnerabilidades.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito
14 DrayTek Routers Vulnerabilities Let Hackers Hijack 700K Devices Remotely
