SK-CERT Bezpečnostné varovanie V20200331-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
10.0 |
Identifikátor |
DrayTek zariadenia kritická zraniteľnosť |
Popis |
Spoločnosť DrayTek vydala bezpečnostnú aktualizáciu na svoje prepínače a smerovače Vigor 2960, 3900, 300B, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Bezpečnostná zraniteľnosť v skripte mainfunction.cgi je spôsobená nedostatočnou implementáciou bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi. |
Dátum prvého zverejnenia varovania |
10.02.2020 |
CVE |
CVE-2020-8515 |
IOC |
MD5 7c42b66ef314c466c1e3ff6b35f134a4 01946d5587c2774418b5a6c181199099 d556aa48fa77040a03ab120b4157c007 URL http://103.82.143.51:58172/vig/tcpst1 http://103.82.143.51:58172/vi1 http://103.82.143.51:58172/vig/mailsend.sh1 https://103.82.143.51:58443/LSOCAISJDANSB.php https://103.82.143.51:58443/uploLSkciajUS.php Scanner IP 103.82.143.51 178.151.198.73 |
Zasiahnuté systémy |
DrayTek Vigor 2960, 3900, 300B firmvér verzie staršie ako 1.5.1 DrayTek VigorSwitch20P2121, VigorSwitch20G1280, VigorSwitch20P1280, VigorSwitch20G2280, VigorSwitch20P2280 verzie staršie ako 2.3.2 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Taktiež odporúčame vypnúť funkciu vzdialeného prístupu v prípade, ak nie je nevyhnutná a skontrolovať systém na prítomnosť backdoor účtov (admin a používateľské účty, SSH backdoor, Web Session) a tiež tcpdump procesu. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam