SK-CERT Bezpečnostné varovanie V20200331-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
10.0 |
| Identifikátor |
| DrayTek zariadenia kritická zraniteľnosť |
| Popis |
| Spoločnosť DrayTek vydala bezpečnostnú aktualizáciu na svoje prepínače a smerovače Vigor 2960, 3900, 300B, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Bezpečnostná zraniteľnosť v skripte mainfunction.cgi je spôsobená nedostatočnou implementáciou bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi. |
| Dátum prvého zverejnenia varovania |
| 10.02.2020 |
| CVE |
| CVE-2020-8515 |
| IOC |
| MD5 7c42b66ef314c466c1e3ff6b35f134a4 01946d5587c2774418b5a6c181199099 d556aa48fa77040a03ab120b4157c007 URL http://103.82.143.51:58172/vig/tcpst1 http://103.82.143.51:58172/vi1 http://103.82.143.51:58172/vig/mailsend.sh1 https://103.82.143.51:58443/LSOCAISJDANSB.php https://103.82.143.51:58443/uploLSkciajUS.php Scanner IP 103.82.143.51 178.151.198.73 |
| Zasiahnuté systémy |
| DrayTek Vigor 2960, 3900, 300B firmvér verzie staršie ako 1.5.1 DrayTek VigorSwitch20P2121, VigorSwitch20G1280, VigorSwitch20P1280, VigorSwitch20G2280, VigorSwitch20P2280 verzie staršie ako 2.3.2 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Taktiež odporúčame vypnúť funkciu vzdialeného prístupu v prípade, ak nie je nevyhnutná a skontrolovať systém na prítomnosť backdoor účtov (admin a používateľské účty, SSH backdoor, Web Session) a tiež tcpdump procesu. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam
