Gli esperti di Trellix hanno individuato una grave vulnerabilità in 29 router DryTek che potrebbe essere sfruttata per prendere il controllo del dispositivo ed eseguire vari tipi di attacchi informatici. Il produttore taiwanese ha prontamente rilasciato i nuovi firmware, quindi gli utenti devono subito installare l’aggiornamento per evitare rischi.
Bug nei router DryTek: patch disponibile
I router Drytek sono molto utilizzati in quanto permettono alle aziende di offrire ai dipendenti un modo semplice per accedere alla VPN. Partendo dall’analisi del modello Vigor3910, gli esperti di Trellix hanno scoperto una vulnerabilità RCE (remote code execution), indicata con CVE-2022-32548, in altri 28 router. Il bug potrebbe essere sfruttato dai cybercriminali per prendere il controllo del dispositivo e accedere alle risorse condivise nella rete locale.
Durante la ricerca sono stati individuati oltre 200.000 router vulnerabili e raggiungibili da Internet. La vulnerabilità è presente nell’interfaccia web di gestione. Usando una particolare stringa come username o password è possibile causare un buffer overflow e prendere il controllo del sistema operativo DryOS. Un malintenzionato potrebbe quindi rubare i dati sensibili memorizzati nel router, accedere alle risorse condivise in rete, effettuare attacchi man-in-the-middle, intercettare le richieste DNS, catturare i pacchetti su ogni porta del router, usare il dispositivo come bot per attacchi DDoS.
Sul sito del produttore è disponibile il firmware più recente per i router vulnerabili: Vigor3910, Vigor1000B, Vigor2962 Series, Vigor2927 Series, Vigor2927 LTE Series, Vigor2915 Series, Vigor2952/2952P, Vigor3220 Series, Vigor2926 Series, Vigor2926 LTE Series, Vigor2862 Series, Vigor2862 LTE Series, Vigor2620 LTE Series, VigorLTE 200n, Vigor2133 Series, Vigor2762 Series, Vigor167, Vigor130, VigorNIC 132, Vigor165, Vigor166, Vigor2135 Series, Vigor2765 Series, Vigor2766 Series, Vigor2832, Vigor2865 Series, Vigor2865 LTE Series, Vigor2866 Series e Vigor2866 LTE Series.