Pas moins de 29 modèles de routeurs différents de DrayTek ont été identifiés comme étant affectés par une nouvelle vulnérabilité critique d’exécution de code à distance non authentifiée qui, si elle est exploitée avec succès, pourrait entraîner une compromission complète de l’appareil et un accès non autorisé au réseau plus large.
« L’attaque peut être effectuée sans interaction de l’utilisateur si l’interface de gestion de l’appareil a été configurée pour être orientée vers Internet », a déclaré Philippe Laulheret, chercheur chez Trellix. a dit. « Une attaque en un clic peut également être effectuée depuis le réseau local dans la configuration de l’appareil par défaut. »
Classée sous CVE-2022-32548, la vulnérabilité a reçu la cote de gravité maximale de 10,0 sur le système de notation CVSS, en raison de sa capacité à permettre complètement à un adversaire de prendre le contrôle des routeurs.
À la base, la lacune est le résultat d’une faille de dépassement de mémoire tampon dans l’interface de gestion Web (« /cgi-bin/wlogin.cgi »), qui peut être militarisée par un acteur malveillant en fournissant une entrée spécialement conçue.
« La conséquence de cette attaque est une prise de contrôle du soi-disant » DrayOS « qui implémente les fonctionnalités du routeur », a déclaré Laulheret. « Sur les appareils dotés d’un système d’exploitation Linux sous-jacent (tel que le Vigor 3910), il est alors possible de pivoter vers le système d’exploitation sous-jacent et d’établir un pied fiable sur l’appareil et le réseau local. »
Plus de 200 000 appareils du fabricant taïwanais auraient le service vulnérable actuellement exposé sur Internet et ne nécessiteraient aucune interaction de l’utilisateur pour être exploités.
La violation d’une appliance réseau telle que Vigor 3910 pourrait non seulement laisser un réseau ouvert à des actions malveillantes telles que le vol d’informations d’identification et de propriété intellectuelle, l’activité de botnet ou une attaque de ransomware, mais également provoquer une condition de déni de service (DoS).
La divulgation intervient un peu plus d’un mois après qu’il est apparu que les routeurs d’ASUS, Cisco, DrayTek et NETGEAR sont attaqués par un nouveau malware appelé ZuoRAT ciblant les réseaux nord-américains et européens.
Bien qu’il n’y ait aucun signe d’exploitation de la vulnérabilité à l’état sauvage jusqu’à présent, il est recommandé d’appliquer le correctifs du micrologiciel dès que possible pour se prémunir contre les menaces potentielles.
« Les périphériques Edge, tels que le routeur Vigor 3910, vivent à la frontière entre les réseaux internes et externes », a noté Laulheret. « En tant que tels, ils constituent une cible de choix pour les cybercriminels et les acteurs de la menace. La violation à distance des périphériques périphériques peut entraîner une compromission complète du réseau interne de l’entreprise. »