Recentemente sono state scoperte oltre una dozzina di nuove vulnerabilità nei router DrayTek, che potrebbero essere sfruttate per prendere il controllo dei dispositivi vulnerabili. Queste falle di sicurezza, denominate collettivamente DRAY:BREAK, rappresentano una seria minaccia sia per gli utenti domestici che per le reti aziendali, consentendo agli attaccanti di iniettare codice maligno e utilizzare i router come punti di accesso alle reti aziendali.
Tra le 14 vulnerabilità individuate, due sono classificate come critiche, nove ad alto rischio e tre a rischio medio. La più grave, identificata come CVE-2024-41592, presenta un punteggio CVSS massimo di 10.0, ed è un bug di overflow del buffer nella funzione "GetCGI()" dell'interfaccia Web, che potrebbe portare a un denial-of-service (DoS) o all'esecuzione remota di codice (RCE). Un'altra vulnerabilità critica, CVE-2024-41585, riguarda un'iniezione di comandi del sistema operativo nel binario "recvCmd" utilizzato per le comunicazioni tra l'host e il sistema operativo guest.
Le altre vulnerabilità comprendono problemi come l'uso delle stesse credenziali di amministrazione su tutto il sistema, che potrebbe portare a una compromissione completa del sistema, e diverse vulnerabilità XSS riflesse e memorizzate nell'interfaccia Web. Inoltre, sono presenti vari bug di overflow del buffer nelle pagine CGI dell'interfaccia Web, che possono causare DoS o RCE.
Secondo l'analisi di Forescout, oltre 704,000 router DrayTek hanno la loro interfaccia Web esposta a Internet, rendendoli un bersaglio facile per gli attaccanti. La maggior parte di questi dispositivi esposti si trova negli Stati Uniti, seguiti da Vietnam, Paesi Bassi, Taiwan e Australia. DrayTek ha rilasciato patch per tutte le vulnerabilità identificate, comprese quelle per 11 modelli ormai obsoleti. È essenziale che gli utenti applichino questi aggiornamenti per proteggere completamente i dispositivi. Inoltre, è consigliabile disabilitare l'accesso remoto se non necessario e utilizzare liste di controllo degli accessi (ACL) e l'autenticazione a due fattori (2FA) quando possibile.
Questi sviluppi arrivano mentre agenzie di cybersecurity di vari paesi hanno emesso una guida congiunta per le organizzazioni di infrastrutture critiche, per mantenere un ambiente di tecnologia operativa (OT) sicuro. Il documento evidenzia l'importanza della sicurezza, della conoscenza del business, della protezione dei dati OT e della segmentazione delle reti.
Secondo Censys, ci sono attualmente 751,801 router DrayTek Vigor esposti online, di cui 421,476 dispositivi rendono accessibile l'interfaccia di amministrazione VigorConnect su Internet. La compromissione di un router potrebbe permettere a un attore malevolo di eseguire ricognizioni di rete e movimenti laterali verso altri dispositivi, distribuire malware o avviare attività di botnet, rendendo questi dispositivi estremamente vulnerabili.