Varios proveedores de servicios de Internet en todo el mundo informan una interrupción generalizada a medida que los enrutadores Draytek ingresan a un bucle de reinicio continuo, afectando tanto a los negocios como a los consumidores.
La compañía de inteligencia de seguridad Greynoise ha identificado la explotación agresiva de varias vulnerabilidades de Draytek que pueden vincularse a estos reinicios místicos que comenzaron alrededor del 22 de marzo de 2025.
Los usuarios en el Reino Unido, Australia, Vietnam, Alemania y otros países han reportado enrutadores Draytek que han perdido la conectividad intermitentemente en múltiples series de modelos e ingresan bucles de arranque.
Los ISP, incluidos el Reino Unido Gamma, Zen Internet, ICUK, Andrews & Arnold, han confirmado esta confusión y se atribuyen a ataques dirigidos a vulnerabilidades no especificadas.
“La causa de esto se ha reducido a las versiones de firmware vulnerables de los enrutadores Draytek. Si el circuito de banda ancha muestra sesiones cortas repetidas, actualice su firmware a la última versión”, dijo ICUK.
Explotación de vulnerabilidades observadas
En los últimos 45 días, Greynoise ha documentado intentos de explotar el salvaje contra tres vulnerabilidades de Draytek conocidas.
CVE-2020-8515: Vulnerabilidad de ejecución de código remoto que afecta a múltiples modelos de enrutador Draytek.
Tiene un 97% de red neuronal precisa para detener los ataques antes de lanzarlos y detectar ataques cibernéticos
No se ha observado ninguna actividad en las últimas 24 horas, pero se han registrado 82 direcciones IP únicas utilizando la vulnerabilidad en los últimos 30 días.
CVE-2021-20123 y CVE-2021-20124: Vulnerabilidad transversal del directorio Draytek VigorConnect.
Ambas vulnerabilidades han mostrado una explotación activa en las últimas 24 horas, con 23 y 22 direcciones IP de ataque únicas registradas, respectivamente.
Según los datos de Greynoise, los países más específicos incluyen Lituania, Estados Unidos y Singapur.
Este impacto fue significativo en múltiples sectores. Thu Duc informó que el propietario del cibercafé Ho Chi Minh City ha sido “intermitentemente inestable a pesar de la reapertura de múltiples dispositivos”.
Otro usuario de la ciudad de Ho Chi Minh que usa un Draytek Vigor 2925 señaló que “la cámara IP ha perdido conexiones repetidamente”, y la página de administrador del enrutador mostró “restablecimiento de tiempo de actividad cada 5 minutos”.
Se recomienda la relajación
Draytek publica orientación para los usuarios afectados y recomienda una acción inmediata. Recomendaciones adicionales son:
Deshabilitar la gestión remota y los servicios SSL VPN. Implementación de listas de control de acceso (ACL). Habilite la autenticación de dos factores si está disponible. Monitoreo de alertas y notificaciones del sistema.
El incidente sigue a los resultados de la encuesta de octubre de 2024 en octubre de 2024, que identificó 14 vulnerabilidades previamente desconocidas en los enrutadores Draytek.
Los investigadores de seguridad continúan monitoreando la situación rastreando el ruido gris en los intentos de exploits en tiempo real. Los administradores de la red que utilizan dispositivos DrayTek se recomiendan altamente para implementar la mitigación recomendada de inmediato.
Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis