Lek in Draytek-routers laat aanvaller code uitvoeren, backdoor installeren

[Captain Kirk]

Kwetsbaarheden in meerdere modellen DrayTek Vigor-routers maken het mogelijk voor aanvallers om in het ergste geval willekeurige code uit te voeren en 'persistent backdoors' te installeren, zo waarschuwen onderzoekers van Faraday Security. De gevaarlijkste twee kwetsbaarheden zijn CVE-2024-51138 en CVE-2024-51139, waardoor een remote aanvaller door het versturen van een speciaal geprepareerd request een buffer overflow of integer overflow kan veroorzaken, wat kan leiden tot het uitvoeren van willekeurige code op de router.

Ook verschillende andere kwetsbaarheden bij het controleren van tls-certificaten en updates zorgen ervoor dat een aanvaller willekeurige code kan uitvoeren. Verder blijken de kwetsbare routers voorspelbare 2FA-codes te genereren, worden wachtwoorden in plaintext opgeslagen en gebruiken de routers een kwetsbare functie waardoor het via timing-aanvallen mogelijk is om gevoelige informatie te stelen, aldus de onderzoekers. Via de beveiligingslekken zijn kwetsbare routers volledig over te nemen en is het mogelijk om 'persistent backdoors' te installeren, aldus de onderzoekers. Draytek heeft updates uitgebracht om de problemen te verhelpen.

 

bron: https://www.security.nl