Critical RCE Bug Could Let Hackers Remotely Take Over DrayTek Vigor Routers
2022/08/04 TheHackerNews — DrayTek のルーターモデル 29 種に、リモートコード実行の脆弱性が、新たに発見され た。Trellix の研究者である Philippe Laulheret は、「デバイスの管理インターフェースが、インターネットに接続されるように設定されている場合において、この攻撃はユーザーの操作なしに引き起こされる。また、デフォルトのデバイス・コンフィグレーションでは、LAN 内からのワンクリックで、攻撃を行うことも可能だ」と述べている。また、この脆弱性 CVE-2022-32548 の悪用に成功した攻撃者は、ルータを完全に制御することが可能になるため、CVSS スコア 10.0 と評価されている。
この脆弱性は、Web 管理インターフェース (“/cgi-bin/wlogin.cgi”) に存在する、バッファ・オーバーフローの欠陥に起因し、悪意の行為者が特別に細工した入力を行うことで武器化することが可能となる。
Philippe Laulheret は、「この攻撃の結果として、ルーター機能を実装している DrayOS が乗っ取られる。Linux を基盤とするデバイス Vigor 3910 などでは、その後に、オペレーティング・システムにピボットし、デバイスとローカル・ネットワークに信頼できる足場を確立することが可能になる」と述べている。
台湾を本拠とする DrayTek を使用する 20万台以上のデバイスが、現時点においてインターネット上で公開されている。それらは、脆弱なサービスを持っていると言われており、悪用するためにユーザーによる操作は必要とされないとされる。
Vigor 3910 のようなネットワーク・アプライアンスへの侵害は、認証情報や知的財産の窃取/ボットネット活動/ランサムウェア攻撃などの、悪意の行為に対してネットワークを開放するだけではなく、サービス妨害 (DoS) 状態を引き起こす可能性も生み出す。
今回の情報開示は、ASUS/Cisco/DrayTek/NETGEAR のルーターが、北米およびヨーロッパのネットワークを標的とした、ZuoRAT という新しいマルウェアによる攻撃を受けていることが判明してから、ほぼ1カ月の間に行われている。
現時点において、この脆弱性が悪用された形跡はないが、潜在的な脅威から身を守るためには、可能な限り早急にファームウェアにパッチを適用することが推奨される。
Vigor 3910 ルーターのようなエッジ・デバイスは、内部ネットワークと外部ネットワークの境界に位置している。エッジデバイスは、サイバー犯罪者や脅威者にとって格好の標的であり、リモートからのエッジデバイスの侵害が成功すると、企業の内部ネットワークの完全な侵害につながる可能性がある。
世界中で利用されている DrayTek Vigor Routers ですが、日本の検索結果は第三位であり、その数は 16万台を超えるようです。文中のチャートは、Shodan Search で DrayTek を検索した結果となります。元記事では、ヒット数が少ない段階でのスクリーン・ショットが用いられているように思えます。続報が出ると嬉しいですね。
IoT OT Security News 
You must be logged in to post a comment.