{"id":271235,"date":"2022-08-05T11:42:15","date_gmt":"2022-08-05T09:42:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271235"},"modified":"2024-07-09T16:00:17","modified_gmt":"2024-07-09T14:00:17","slug":"kritische-rce-schwachstelle-cve-2022-32548-in-draytek-vigor-routern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/05\/kritische-rce-schwachstelle-cve-2022-32548-in-draytek-vigor-routern\/","title":{"rendered":"Kritische RCE-Schwachstelle CVE-2022-32548 in DrayTek Vigor-Routern"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurzer Hinweis f\u00fcr Administratoren und Nutzer, die vielleicht Vigor-Router in ihrer Umgebung einsetzen. Sicherheitsforscher sind auf eine kritische Remote Code Execution Schwachstelle (RCE) gesto\u00dfen, die eine \u00dcbernahme des Routers durch die Angreifer erm\u00f6glicht. DrayTek hat ein entsprechendes Firmware-Update zum Schlie\u00dfen der Schwachstelle bereitgestellt.<\/p>\n

<\/p>\n

\"\"DrayTek ist ein taiwanischer Hersteller von Netzwerkl\u00f6sungen, angefangen von Enterprise-Level Firewalls, \u00fcber unternehmenskritische VPN-L\u00f6sungen f\u00fcr kleine und mittlere Unternehmen, bis hin zu xDSL- und Breitband-Teilnehmerendger\u00e4te f\u00fcr den Privatanwender (Quelle Wikipedia<\/a>). Es gibt auch eine deutsche DrayTek-Webseite, \u00fcber die die Produkte vertrieben werden.<\/p>\n

\"DrayTek<\/p>\n

DrayTek-Produkte auf Shodan.io<\/p>\n

Die Suchmaschine Shodan wirft mir<\/a> weltweite Installationen der Produkte dieses Anbieters aus, da d\u00fcrften auch einige Router drunter sein. Die Auflistung hier<\/a> weist Gro\u00dfbritannien als Verbreitungsgebiet auf, aber deren Produkte finden sich auch in Deutschland.<\/p>\n

RCE-Schwachstelle CVE-2022-32548<\/h2>\n

Sicherheitsforscher von Trellix sind auf diese Schwachstelle, die wohl in einer Reihe Vigor-Router-Modelle existiert,\u00a0 gesto\u00dfen, und haben dies am 3. August 2022 im Beitrag Unauthenticated Remote Code Execution in a Wide Range of DrayTek Vigor Routers<\/a> publiziert. Konkret hat das Trellix Threat Labs Vulnerability Research Team eine Schwachstelle gefunden, die eine Remotecodeausf\u00fchrung (RCE) ohne weitere Authentifizierung erm\u00f6glicht.<\/p>\n

Die Schwachstelle CVE-2022-32548 betrifft mehrere DrayTek-Router-Modelle und erm\u00f6glicht einen Angriff ohne Benutzerinteraktion, sofern die Verwaltungsschnittstelle des Ger\u00e4ts so konfiguriert wurde, dass sie per Internet erreichbar ist (das alte Problem). Zudem kann ein Ein-Klick-Angriff auch innerhalb des LANs in der Standardkonfiguration des Ger\u00e4ts durchgef\u00fchrt werden. Der Angriff kann zu einer vollst\u00e4ndigen Kompromittierung des Ger\u00e4ts f\u00fchren, schreiben die Sicherheitsforscher. Angreifer erhielten so einen Zugriff auf das Netzwerk und k\u00f6nnten unberechtigte Zugriffe auf interne Ressourcen aus f\u00fchren. Hier die Liste der identifizierten Ger\u00e4te samt Firmware-Version, die angreifbar ist.<\/p>\n

Vigor3910 < 4.3.1.1
\nVigor1000B < 4.3.1.1
\nVigor2962 Series < 4.3.1.1
\nVigor2927 Series < 4.4.0
\nVigor2927 LTE Series < 4.4.0
\nVigor2915 Series < 4.3.3.2
\nVigor2952 \/ 2952P < 3.9.7.2
\nVigor3220 Series < 3.9.7.2
\nVigor2926 Series < 3.9.8.1
\nVigor2926 LTE Series < 3.9.8.1
\nVigor2862 Series < 3.9.8.1
\nVigor2862 LTE Series < 3.9.8.1
\nVigor2620 LTE Series < 3.9.8.1
\nVigorLTE 200n < 3.9.8.1
\nVigor2133 Series < 3.9.6.4
\nVigor2762 Series < 3.9.6.4
\nVigor167 < 5.1.1
\nVigor130 < 3.8.5
\nVigorNIC 132 < 3.8.5
\nVigor165 < 4.2.4
\nVigor166 < 4.2.4
\nVigor2135 Series < 4.4.2
\nVigor2765 Series < 4.4.2
\nVigor2766 Series < 4.4.2
\nVigor2832 < 3.9.6
\nVigor2865 Series < 4.4.0
\nVigor2865 LTE Series < 4.4.0
\nVigor2866 Series < 4.4.0
\nVigor2866 LTE Series < 4.4.0<\/p>\n

F\u00fcr alle betroffenen Modelle steht eine gepatchte Firmware auf der Website des Herstellers<\/a> zum Download bereit. Den Trellix Threat Labs sind derzeit keine Anzeichen f\u00fcr eine Ausnutzung dieser Schwachstelle bekannt. Allerdings wurden DrayTek-Ger\u00e4te vor kurzem von verschiedenen bekannten b\u00f6swilligen Akteuren angegriffen, schreiben die Sicherheitsforscher. Weitere Details lassen sich hier<\/a> abrufen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurzer Hinweis f\u00fcr Administratoren und Nutzer, die vielleicht Vigor-Router in ihrer Umgebung einsetzen. Sicherheitsforscher sind auf eine kritische Remote Code Execution Schwachstelle (RCE) gesto\u00dfen, die eine \u00dcbernahme des Routers durch die Angreifer erm\u00f6glicht. DrayTek hat ein entsprechendes Firmware-Update zum Schlie\u00dfen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-271235","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271235"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271235\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}