SK-CERT Bezpečnostné varovanie V20241003-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
10.0 |
| Identifikátor |
| DrayTek Vigor – dve kritické bezpečnostné zraniteľnosti |
| Popis |
| Spoločnosť DRAYTEK vydala bezpečnostné aktualizácie na 24 modelov routrov VIGOR, ktoré opravujú 14 zraniteľností, z čoho 2 sú označené ako kritické. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-41592 sa nachádza vo funkcii GetCGI() a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom pretečenia zásobníka vykonať škodlivý kód alebo spôsobiť zneprístupnenie služby. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-41585 sa nachádza v komponente recvCmd a umožňuje útočníkovi prostredníctvom injekcie príkazov uniknúť z virtualizovaného prostredia a vykonať škodlivý kód na operačnom systéme hostiteľského zariadenia. Ostatné zraniteľnosti možno zneužiť na realizáciu XSS (cross-site scripting) útokov, odpočúvanie sieťovej komunikácie prostredníctvom MITM (man-in-the-middle) útokov a získanie neoprávneného prístupu k citlivým údajom. Na zraniteľnosti s identifikátormi CVE-2024-41592 a CVE-2024-41585 je v súčasnosti voľne dostupný Proof-of-Concept kód. |
| Dátum prvého zverejnenia varovania |
| 2.10.2024 |
| CVE |
| CVE-2024-41583, CVE-2024-41584, CVE-2024-41585, CVE-2024-41586, CVE-2024-41587, CVE-2024-41588, CVE-2024-41589, CVE-2024-41590, CVE-2024-41591, CVE-2024-41592, CVE-2024-41593, CVE-2024-41594, CVE-2024-41595, CVE-2024-41596 |
| IOC |
| – |
| Zasiahnuté systémy |
| Vigor1000B, Vigor2962, Vigor3910 vo verzii firmvéru staršej ako 4.3.2.8 a 4.4.3.1 Vigor3912 vo verzii firmvéru staršej ako 4.3.6.1 Vigor165, Vigor166 vo verzii firmvéru staršej ako 4.2.7 Vigor2135, Vigor2763, Vigor2765, Vigor2766 vo verzii firmvéru staršej ako 4.4.5.1 Vigor2865, Vigor2866, Vigor2915 vo verzii firmvéru staršej ako 4.4.5.3 Vigor2620, VigorLTE200 vo verzii firmvéru staršej ako 3.9.8.9 (ukončená podpora, opravuje len CVE-2024-41592) Vigor2133, Vigor2762, Vigor2832 vo verzii firmvéru staršej ako 3.9.9 (ukončená podpora, opravuje len CVE-2024-41592) Vigor2860, Vigor2925 vo verzii firmvéru staršej ako 3.9.8 (ukončená podpora, opravuje len CVE-2024-41592) Vigor2862, Vigor2926 vo verzii firmvéru staršej ako 3.9.9.5 (ukončená podpora, opravuje len CVE-2024-41592) Vigor2952, Vigor3220 vo verzii firmvéru staršej ako 3.9.8.2 (ukončená podpora, opravuje len CVE-2024-41592) |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup do systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Pri produktoch s ukončenou podporou boli vydané aktualizácie firmvéru opravujúce len zraniteľnosť s identifikátorom CVE-2024-41592. Vzhľadom na to, že viaceré produkty už nie sú udržiavané, odporúčame prejsť na iné produkty s platnou podporou. Bezpečnostní výskumníci tiež zverejnili zoznam odporúčaných mitigácií predmetných zraniteľností, detailné inštrukcie môžete nájsť na webovej adrese: https://www.forescout.com/resources/draybreak-draytek-research/ v časti "7. Mitigation Recommendations" Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Administrátorom odporúčame limitovať prístup k administratívnemu rozhraniu a jeho funkciám zavedením zoznamu pre riadenie prístupov (ACL). Administrátorom odporúčame nastaviť viac faktorovú autentifikáciu používateľov. SK-CERT administrátorom odporúča venovať osobitnú pozornosť aktualizácii firmvéru, nie len aplikačnému softvéru. |
« Späť na zoznam
