Übernahme möglich: DrayTek-Router mit kritischer Sicherheitslücke
Eine Schwachstelle in den Routern von DrayTek ermöglicht Angreifern aus dem Netz die Kompromittierung der Geräte. Nicht einmal eine Anmeldung ist dafür nötig.
(Bild: Shutterstock/chanpipat)
Eine kritische Schwachstelle in diversen Routern von DrayTek ermöglicht unangemeldeten Angreifern aus dem Netz, beliebige Befehle auf den Geräten auszuführen und die Kontrolle darüber zu übernehmen. Der Hersteller stellt aktualisierte Firmware-Pakete bereit, die den Fehler korrigieren.
Sicherheitsforscher von Trellix haben die Lücke entdeckt. Sie betrifft die Log-in-Webseite der Router. Angreifer könnten aus dem LAN oder, sofern das Management -Interface aus dem Internet zugänglich ist, aus dem Netz in den Router einbrechen und sich etwa von dort weiter im Netzwerk fortbewegen. Dies kann womöglich auch durch SSL-VPN auf dem Router gelingen.
Zahlreiche verwundbare Router im Internet
Bei ihrer Analyse fanden die IT-Experten mehr als 200.000 Geräte, die den verwundbaren Dienst im Internet angeboten haben. Auf der Log-in-Webseite /cgi-bin/wlogin.cgi der Router kann ein Pufferüberlauf auftreten, wenn ein Angreifer sorgsam präparierte Base64-kodierte Werte für die Formularfelder aa und ab sendet. Ursache ist ein Logikfehler in der Router-Software bei der Längenprüfung (CVE-2022-32548, CVSS 10.0, Risiko "kritisch").
Betroffen sind eine ganze Reihe von Routern mit den Firmware-Fassungen:
Vigor3910 < 4.3.1.1
Vigor1000B < 4.3.1.1
Vigor2962 Series < 4.3.1.1
Vigor2927 Series < 4.4.0
Vigor2927 LTE Series < 4.4.0
Vigor2915 Series < 4.3.3.2
Vigor2952 / 2952P < 3.9.7.2
Vigor3220 Series < 3.9.7.2
Vigor2926 Series < 3.9.8.1
Vigor2926 LTE Series < 3.9.8.1
Vigor2862 Series < 3.9.8.1
Vigor2862 LTE Series < 3.9.8.1
Vigor2620 LTE Series < 3.9.8.1
VigorLTE 200n < 3.9.8.1
Vigor2133 Series < 3.9.6.4
Vigor2762 Series < 3.9.6.4
Vigor167 < 5.1.1
Vigor130 < 3.8.5
VigorNIC 132 < 3.8.5
Vigor165 < 4.2.4
Vigor166 < 4.2.4
Vigor2135 Series < 4.4.2
Vigor2765 Series < 4.4.2
Vigor2766 Series < 4.4.2
Vigor2832 < 3.9.6
Vigor2865 Series < 4.4.0
Vigor2865 LTE Series < 4.4.0
Vigor2866 Series < 4.4.0
Vigor2866 LTE Series < 4.4.0
Auf der Download-Seite des Unternehmens stellt Draytek für betroffene Router aktualisierte Firmware bereit, um damit die Sicherheitslücke zu schließen. Administratoren mit DrayTek-Routern sollten schnell die Updates herunterladen und auf den Geräten installieren.
Wo das noch nicht möglich ist, sollten Administratoren den Zugriff auf das Management-Interface aus dem Internet unterbinden sowie den SSL-VPN-Dienst deaktivieren. Dies rät DrayTek in einer eigenen Sicherheitsmeldung.
Da Schwachstellen auch in DrayTek-Routern in der Vergangenheit von Cyberkriminellen angegriffen wurden, sollten Administratoren zügig entweder die aktualisierte Firmware installieren oder die vorgeschlagenen Workarounds anwenden.
(dmk)