CVE-2024-48074: RCE Flaw Discovered in DrayTek Vigor2960 Routers, PoC Published
2024/10/30 SecurityOnline — 堅牢な VPN ソリューションを必要とする企業に人気の、DrayTek Vigor2960 ルーターに重大なリモートコード実行 (RCE) の脆弱性が存在することを、セキュリティ研究者たちが発見した。この脆弱性 CVE-2024-48074 (CVSS:8.0) は、ファームウェア・バージョン 1.4.4 を実行するデバイスに影響を及ぼす。
この脆弱性の悪用に成功した攻撃者は、Web サーバと同じ権限を用いて、影響を受けるルーター上で任意のコマンドを実行できる。それにより、対象となるデバイスを完全に乗っ取った攻撃者は、機密データの窃取を達成し、さらなる攻撃の開始や、ネットワーク操作の妨害などの可能性を手にする。
この欠陥は、”/www/cgi-bin/mainfunction.cgi” スクリプトに、具体的には “doPPPoE” 関数内に存在する。この関数の問題は、オプション・パラメーターが “terminate” に設定されている場合に、テーブル・パラメーターでユーザーが指定した入力を誤って処理する点にある。したがって攻撃者は、脆弱なコードの処理により発動されるコマンド・インジェクションを、引き起こすための悪意のテーブル値を作成できる。この脆弱なコードがシステム機能を悪用することで、細工されたコマンドが実行され、最終的に攻撃者に制御権を与えてしまう。
この脆弱性 CVE-2024-48074 を発見した、セキュリティ研究者である Giles は、PoC エクスプロイトも公開している。したがって、ユーザーにとって極めて重要なことは、直ちに行動を起こしてリスクを軽減することである。
この脆弱性の悪用に成功した攻撃者は、以下のような深刻な結果を引き起こす可能性を手にする:
- データ侵害:ルーターを通過する、ユーザー名/パスワード/財務データなどの、機密情報にアクセスする可能性。
- ネットワークの中断:ネットワーク・サービスを中断させ、ダウンタイムを引き起こし、業務に影響を及ぼす可能性。
- マルウェアの拡散:侵害したルーターを介して、ネットワーク上の他のデバイスにマルウェアを拡散する可能性。
- ボットネットの採用:標的ルーターをボットネットに隷属させ、それを悪用する DDoS 攻撃やスパム送信を試行する可能性。
すでに DrayTek は、脆弱性について通知を受けており、パッチをリリースしている。また、パッチ適用と並行して、ユーザーに推奨されるのは、以下の手順を実施である:
- ネットワーク・アクティビティの監視:ネットワーク・トラフィックを監視し、疑わしいアクティビティの有無を確認する。
- 最新のファームウェア・バージョンへのアップグレードする:ルーターのファームウェアを最新の状態に保ち、既知の脆弱性を修正する。
- リモート・アクセスの無効化: ルーターの管理インターフェイスへのリモート・アクセスが不要な場合は、それらを無効化する。
- デフォルト資格情報の変更: ルーターの管理者アカウントに対して、強力なパスワードを使用する。
DrayTek Vigor2960 ルーターに発生した、RCE の脆弱性に対して PoC が提供されています。2022/08/04 の「DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?」によると、日本国内でも相当数の DrayTek Vigor が使用されていることが分かります。ご利用のチームは、十分に ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.