-
09/04/2020
-
94
-
695 bài viết
Router DrayTek dính loạt lỗ hổng nguy hiểm: Backdoor, RCE, lỗi xác thực!
Mới đây, Faraday Team đã phát hiện ra nhiều lỗ hổng bảo mật nghiêm trọng trong các Router DrayTek Vigor, có thể cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn thiết bị bị ảnh hưởng. Những lỗ hổng này bao gồm các vấn đề như lỗi xác thực, cập nhật module kernel không an toàn và lỗ hổng backdoor.
Các lỗ hổng nổi bật:
Tương tự như vậy, CVE-2024-41334 tiết lộ rằng “Các bộ Router Vigor bị ảnh hưởng không xác thực chứng chỉ SSL khi tải xuống chữ ký thực thi APP từ máy chủ Draytek, cho phép kẻ tấn công cài đặt các mô-đun APPE được chế tạo từ các máy chủ không chính thức”.
Các lỗ hổng bảo mật ảnh hưởng đến nhiều mẫu Draytek Vigor, bao gồm Vigor165, Vigor2862, Vigor3912 và các mẫu khác. Các phiên bản phần mềm dễ bị tấn công nằm trong khoảng từ 3.9.7 đến 4.4.5.8, tùy thuộc vào mẫu bộ router.
Nhóm Faraday đã cung cấp danh sách chi tiết các phiên bản phần mềm bị ảnh hưởng. Người dùng được khuyến cáo nên cập nhật bộ Router DrayTek Vigor của mình lên phiên bản phần mềm mới nhất để giảm thiểu các lỗ hổng nghiêm trọng này.
Ngoài ra, nên tham khảo tư vấn của Faraday Team và theo dõi trang web chính thức của DrayTek để biết thông tin chi tiết và cập nhật chương trình cần thiết.
Các lỗ hổng nổi bật:
- CVE-2024-41335 (CVSS 7.5): So sánh mật khẩu theo thời gian không cố định, cho phép các cuộc tấn công theo thời gian có thể trích xuất thông tin nhạy cảm.
- CVE-2024-41336 (CVSS 7.5): Mật khẩu được lưu trữ dưới dạng văn bản thuần túy, kẻ tấn công có quyền truy cập bộ nhớ để lấy thông tin đăng nhập.
- CVE-2024-41338 (CVSS 7.5): Hủy tham chiếu con trỏ NULL của máy chủ DHCP, các yêu cầu DHCP được tạo sẵn có thể gây ra các cuộc tấn công từ chối dịch vụ (DoS).
- CVE-2024-41339 (CVSS 9.8): Cài đặt module kernel không có tài liệu thông qua điểm cuối cấu hình CGI, kẻ tấn công có thể tải lên các module kernel tùy ý để thực thi mã tùy ý.
- CVE-2024-41340 (CVSS 8.4): Bản cập nhật chữ ký thực thi APP cho phép cài đặt module kernel tùy ý.
- CVE-2024-41334 (CVSS 9.8): Thiếu xác thực chứng chỉ SSL cho các bản cập nhật chữ ký thực thi APP.
- CVE-2024-51138 (CVSS 9.8): Tràn bộ đệm máy chủ TR069 STUN.
- CVE-2024-51139 (CVSS 9.8): Tràn số nguyên CGI POST, có thể dẫn đến tràn heap và thực thi mã tùy ý.
Tương tự như vậy, CVE-2024-41334 tiết lộ rằng “Các bộ Router Vigor bị ảnh hưởng không xác thực chứng chỉ SSL khi tải xuống chữ ký thực thi APP từ máy chủ Draytek, cho phép kẻ tấn công cài đặt các mô-đun APPE được chế tạo từ các máy chủ không chính thức”.
Các lỗ hổng bảo mật ảnh hưởng đến nhiều mẫu Draytek Vigor, bao gồm Vigor165, Vigor2862, Vigor3912 và các mẫu khác. Các phiên bản phần mềm dễ bị tấn công nằm trong khoảng từ 3.9.7 đến 4.4.5.8, tùy thuộc vào mẫu bộ router.
Nhóm Faraday đã cung cấp danh sách chi tiết các phiên bản phần mềm bị ảnh hưởng. Người dùng được khuyến cáo nên cập nhật bộ Router DrayTek Vigor của mình lên phiên bản phần mềm mới nhất để giảm thiểu các lỗ hổng nghiêm trọng này.
Ngoài ra, nên tham khảo tư vấn của Faraday Team và theo dõi trang web chính thức của DrayTek để biết thông tin chi tiết và cập nhật chương trình cần thiết.
Theo Security Online