Forescout Research Labsは10月2日(米国時間)、「(PDF) DRAY:BREAK Breaking Into DrayTek Routers Before Threat Actors Do It Again - Forescout Research Labs」において、DrayTekのルータから複数の脆弱性を発見したとして、調査レポートを公開した。これら脆弱性を悪用されると、遠隔からデバイスを乗っ取られる可能性がある。
脆弱性の情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-41589 - ゲストOSおよびホストOSの双方で同じ管理者資格情報を使用する脆弱性。一方の資格情報を窃取されるとシステム全体を侵害される可能性がある
- CVE-2024-41591、CVE-2024-41584 - Web UIに反射型クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
- CVE-2024-41587、CVE-2024-41583 - Web UIに蓄積型クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
- CVE-2024-41592 - Web UIにバッファオーバーフローの脆弱性。悪用されるとリモートコード実行(RCE: Remote Code Execution)につながる可能性がある
- CVE-2024-41585 - OSコマンドインジェクションの脆弱性
- CVE-2024-41588、CVE-2024-41590 - Web UIのCGIページにバッファオーバーフローの脆弱性
- CVE-2024-41586 - Web UIのCGIページにスタックバッファオーバーフローの脆弱性
- CVE-2024-41596 - Web UIのCGIページに不十分な境界チェックの脆弱性。複数のバッファオーバーフローにつながる可能性がある
- CVE-2024-41593 - Web UIにヒープベースのバッファオーバーフローの脆弱性
- CVE-2024-41595 - Web UIのCGIページに不十分な読み書き操作の範囲検証の脆弱性
- CVE-2024-41594 - Web UIのWebサーババックエンドに情報開示の脆弱性。攻撃者は中間者攻撃(MITM: Man-in-the-middle attack)を実行できる可能性がある
脆弱性が存在する製品
脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。
- Vigor1000B、Vigor2962、Vigor3910 4.3.2.8よりも前、または4.4.3.1よりも前のバージョン
- Vigor3912 4.3.6.1よりも前のバージョン
- Vigor165、Vigor166 4.2.7よりも前のバージョン
- Vigor2135、Vigor2763、Vigor2765、Vigor2766 4.4.5.1よりも前のバージョン
- Vigor2865、Vigor2866、Vigor2915 4.4.5.3よりも前のバージョン
- Vigor2620、VigorLTE200 3.9.8.9よりも前のバージョン
- Vigor2133、Vigor2762、Vigor2832 3.9.9よりも前のバージョン
- Vigor2860、Vigor2925 3.9.8よりも前のバージョン
- Vigor2862、Vigor2926 3.9.9.5よりも前のバージョン
- Vigor2952、Vigor3220 3.9.8.2よりも前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびファームウェアバージョンは次のとおり。
- Vigor1000B、Vigor2962、Vigor3910 4.3.2.8または4.4.3.1
- Vigor3912 4.3.6.1
- Vigor165、Vigor166 4.2.7
- Vigor2135、Vigor2763、Vigor2765、Vigor2766 4.4.5.1
- Vigor2865、Vigor2866、Vigor2915 4.4.5.3
- Vigor2620、VigorLTE200 3.9.8.9
- Vigor2133、Vigor2762、Vigor2832 3.9.9
- Vigor2860、Vigor2925 3.9.8
- Vigor2862、Vigor2926 3.9.9.5
- Vigor2952、Vigor3220 3.9.8.2
上記のうちVigor2620、VigorLTE200、Vigor2133、Vigor2762、Vigor2832、Vigor2860、Vigor2925、Vigor2862、Vigor2926、Vigor2952、Vigor3220の11製品はすでにサポート終了(EOL: End-of-Life)となっている。DrayTekはこれら製品に対しても修正パッチを公開しているが、交換の検討が望まれている。
影響と対策
影響を受けるDrayTekのルータは個人および企業向けに世界中で販売されている。約70万台のデバイスがインターネットからアクセス可能とされ、国内にも多くのユーザーがいることが確認されている。
発見された脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。Forescout Research Labsは当該製品の管理者に対し、影響を確認して速やかにアップデートすることを推奨している。
また、DrayTekはこのアップデートに加え、2020年に公開したセキュリティアドバイザリー「Vigor3900 / Vigor2960 / Vigor300B Router Web Management Page Vulnerability (CVE-2020-8515) | DrayTek」を確認して、追加の対策を実施することも推奨している。