14 дыр в роутерах DrayTek: 700 000 сетей на волоске от взлома

Эксперты из компании Forescout обнаружили сразу 14 уязвимостей в маршрутизаторах производства DrayTek, что может позволить злоумышленникам получить полный доступ к устройствам и использовать их как точку входа в сети крупных предприятий и частных домовладений. Среди выявленных проблем две оценены как критические, девять — с высоким уровнем опасности, и три — со средним.

Наибольшую угрозу представляет уязвимость переполнения буфера (CVE-2024-41592) в функции «GetCGI()» веб-интерфейса маршрутизатора, что может привести к отказу в обслуживании (DoS) или удалённому выполнению кода (RCE). Другая критическая уязвимость (CVE-2024-41585) чревата внедрением команд операционной системы в бинарный файл «recvCmd», который используется для взаимодействия между хостом и гостевой ОС.

Ниже представлен полный список найденных уязвимостей:

1. CVE-2024-41589 (CVSS: 7.5). Использование одинаковых учётных данных администратора в системе (включая гостевую и основную ОС). Получение этих данных может привести к полной компрометации системы.
2. CVE-2024-41591 (CVSS: 7.5). Веб-интерфейс содержит страницу «doc/hslogp1_link.htm», которая принимает HTML-код через параметр «content» в строке запроса и отображает его без фильтрации, что приводит к уязвимости межсайтового скриптинга.
3. CVE-2024-41587 (CVSS: 4.9). Веб-интерфейс позволяет настраивать приветственное сообщение для каждого пользователя. Недостаточная проверка входных данных позволяет внедрять произвольный JavaScript-код, что создаёт уязвимость хранения межсайтового скриптинга.
4. CVE-2024-41583 (CVSS: 4.9). Веб-интерфейс позволяет настроить имя маршрутизатора, которое отображается на страницах. Из-за недостаточной проверки входных данных возможно внедрение произвольного JavaScript-кода.
5. CVE-2024-41584 (CVSS: 4.9). Страница входа «wlogin.cgi» веб-интерфейса принимает параметр «sFormAuthStr» для защиты от CSRF. Значение этого параметра отображается в соответствующей веб-странице без фильтрации, что позволяет внедрять ограниченный JavaScript-код.
6. CVE-2024-41592 (CVSS: 10). Функция «GetCGI()» веб-интерфейса, обрабатывающая данные HTTP-запроса, имеет уязвимость переполнения буфера при обработке параметров строки запроса.
7. CVE-2024-41585 (CVSS: 9.1). Бинарный файл «recvCmd», используемый для обмена данными между основной и гостевой ОС, подвержен атакам на внедрение команд ОС.
8. CVE-2024-41588 (CVSS: 7.2). CGI-страницы «/cgi-bin/v2x00.cgi» и «/cgi-bin/cgiwcg.cgi» веб-интерфейса уязвимы к переполнению буфера из-за отсутствия проверки длины параметров строки запроса при использовании функции «strncpy()».
9. CVE-2024-41590 (CVSS: 7.2). В нескольких CGI-страницах веб-интерфейса обнаружены уязвимости переполнения буфера из-за недостаточной проверки данных, передаваемых в функцию «strcpy()». Для эксплуатации требуется наличие учётных данных.
10. CVE-2024-41586 (CVSS: 7.2). Страница «/cgi-bin/ipfedr.cgi» веб-интерфейса уязвима к переполнению стека при обработке длинной строки запроса.
11. CVE-2024-41596 (CVSS: 7.2). Несколько уязвимостей переполнения буфера в веб-интерфейсе, вызванные отсутствием проверок при обработке параметров формы CGI.
12. CVE-2024-41593 (CVSS: 7.2). Функция «ft_payloads_dns()» веб-интерфейса содержит уязвимость переполнения буфера на куче из-за ошибки в операции с аргументом длины вызова «_memcpy()». Это может привести к записи за пределы буфера и повреждению памяти.
13. CVE-2024-41595 (CVSS: 7.2). В нескольких CGI-страницах веб-интерфейса отсутствует проверка границ при операциях чтения и записи, связанных с различными настройками интерфейса, что может вызвать отказ в обслуживании.
14. CVE-2024-41594 (CVSS: 7.6). Бэкэнд веб-сервера для веб-интерфейса использует статическую строку для инициализации генератора случайных чисел в OpenSSL для TLS. Это может привести к утечке информации и атакам типа «человек посередине» (MiTM).

Анализ Forescout выявил, что порядка 704 000 маршрутизаторов DrayTek имеют открытый веб-интерфейс, что делает их лёгкой мишенью для атак. Больше всего таких устройств находится в США, Вьетнаме, Нидерландах, Тайване и Австралии.

После ответственного раскрытия информации об уязвимостях DrayTek выпустила исправления для всех выявленных брешей, включая критические и затрагивающие устройства, находящиеся в статусе End-of-Life (конец срока службы). Эксперты настоятельно рекомендуют обновить прошивку устройств и отключить удалённый доступ к веб-панели маршрутизатора, если он не используется.