L’équipe de recherche du Trellix Threat Labs a identifié une vulnérabilité d’exécution de code à distance non authentifiée, enregistrée sous CVE-2022-32548 affectant plusieurs routeurs de la marque DrayTek.
Communiqué – L’attaque peut être réalisée sans interaction avec l’utilisateur si l’interface de gestion de l’appareil a été configurée pour être accessible via Internet. Une attaque en un clic peut également être réalisée depuis le réseau local si on utilise la configuration par défaut de l’appareil. L’attaque peut conduire à une compromission complète de l’appareil et à une faille de sécurité du réseau et à un accès non autorisé aux ressources internes. Tous les modèles concernés peuvent bénéficier d’un correctif de microprogramme disponible en téléchargement sur le site Web du fournisseur.
DrayTek est une société taïwanaise qui fabrique des routeurs pour bureaux de petite taille et bureaux à domicile (SOHO). Ils sont largement adoptés au Royaume-Uni, au Vietnam, à Taïwan, etc. Une simple recherche Shodan montre les appareils DrayTek utilisés dans le monde entier, ce qui facilite grandement la tâches des cybercriminels…
Avec de nombreuses entreprises ayant mis en place des politiques de travail à domicile au cours des deux dernières années, ces routeurs abordables offrent un moyen facile pour les petites et moyennes entreprises (PME) de fournir un accès VPN à leurs employés. Pour cette raison, nous avons décidé d’examiner la sécurité de l’un de leurs produits phares, le Vigor 3910, et avons découvert une vulnérabilité d’exécution de code à distance avant authentification affectant le Vigor 3910 ainsi que 28 autres modèles DrayTek partageant la même base de code (voir Routeurs vulnérables ci-dessous). L’exploitation de cette vulnérabilité peut conduire à une compromission complète de l’appareil et permettre à un acteur malveillant d’accéder aux ressources internes des réseaux violés.
Au cours de nos recherches, nous avons découvert que plus de 200 000 appareils sont actuellement exposés sur Internet. Beaucoup d’autres appareils eux aussi vulnérables ne sont toutefois sujets qu’à des menaces internes et provenant du réseau local. Cette vulnérabilité est suivie par MITRE sous le nom de CVE-2022-32548 avec un score CVSS 3.0 de 10.0. Un correctif a déjà été publié par le fabricant.
Si vous ou votre entreprise gérez des routeurs DrayTek, nous vous recommandons de visiter le site Web du fabricant et d’appliquer ce correctif dès que possible.
Nous félicitons également DrayTek pour sa grande réactivité et la publication d’un correctif moins de 30 jours après que nous avons divulgué la vulnérabilité à son équipe de sécurité. Ce type de réactivité et de relation témoigne de la véritable maturité de l’entreprise et de sa volonté d’améliorer la sécurité dans l’ensemble du secteur.
Routeurs vulnérables
Les routeurs vulnérables sont les suivants :
- Vigor3910 < 4.3.1.1
- Vigor1000B < 4.3.1.1
- Vigor2962 Series < 4.3.1.1
- Vigor2927 Series < 4.4.0
- Vigor2927 LTE Series < 4.4.0
- Vigor2915 Series < 4.3.3.2
- Vigor2952 / 2952P < 3.9.7.2
- Vigor3220 Series < 3.9.7.2
- Vigor2926 Series < 3.9.8.1
- Vigor2926 LTE Series < 3.9.8.1
- Vigor2862 Series < 3.9.8.1
- Vigor2862 LTE Series < 3.9.8.1
- Vigor2620 LTE Series < 3.9.8.1
- VigorLTE 200n < 3.9.8.1
- Vigor2133 Series < 3.9.6.4
- Vigor2762 Series < 3.9.6.4
- Vigor167 < 5.1.1
- Vigor130 < 3.8.5
- VigorNIC 132 < 3.8.5
- Vigor165 < 4.2.4
- Vigor166 < 4.2.4
- Vigor2135 Series < 4.4.2
- Vigor2765 Series < 4.4.2
- Vigor2766 Series < 4.4.2
- Vigor2832 < 3.9.6
- Vigor2865 Series < 4.4.0
- Vigor2865 LTE Series < 4.4.0
- Vigor2866 Series < 4.4.0
- Vigor2866 LTE Series < 4.4.0
Impact
La compromission d’un équipement réseau tel que le Vigor 3910 peut entraîner les conséquences suivantes (liste non exhaustive et présentée dans aucun ordre en particulier) :
- Fuite des données sensibles stockées sur le routeur (clés, mots de passe d’administration, etc.)
- Accès aux ressources internes situées sur le réseau local qui devraient normalement nécessiter un accès VPN ou être présentes « sur le même réseau »
- Attaque de l’homme du milieu au niveau du trafic réseau
- Espionnage des requêtes DNS et de tout autre trafic non chiffré dirigé vers l’Internet depuis le réseau local via le routeur
- Capture de paquets de données passant par n’importe quel port du routeur
- Activité de botnet (DDoS, hébergement de données malveillantes, etc.)
Les tentatives d’exploitation échouées peuvent conduire aux situations suivantes :
- Redémarrage de l’appareil
- Déni de service des appareils concernés
- Autres comportements anormaux possibles
Trellix Threat Labs n’a actuellement pas connaissance de signes d’exploitation de cette vulnérabilité dans la nature. Cependant, les routeurs DrayTek ont récemment été ciblés par divers acteurs malveillants connus. Cela a été mis en évidence dans la note du CISA à propos de la République populaire de Chine (RPC) compromettant les routeurs SOHO et le rapport de Black Lotus Labs sur le ZuoRAT exploitant le Vigor 3900 (routeur en fin de vie remplacé par le Vigor 3910). La nature de CVE-2022-32548 le rend plus difficile à exploiter par rapport aux vulnérabilités passées affectant les appareils DrayTek, ce qui peut empêcher les acteurs de la menace d’adopter rapidement cette vulnérabilité dans leurs cadres d’attaque.
Détails techniques
L’interface de gestion web des appareils DrayTek vulnérables est affectée par un dépassement de mémoire tampon sur la page de connexion à l’adresse /cgi-bin/wlogin.cgi. Un attaquant peut fournir un nom d’utilisateur et/ou un mot de passe soigneusement conçus sous forme de chaînes codées en base64 dans les champs aa et ab de la page de connexion. Cela provoquerait le déclenchement du dépassement de mémoire tampon en raison d’un bogue logique dans la vérification de la taille de ces chaînes codées. Par défaut, cette attaque est accessible sur le réseau local et peut également être accessible via Internet (WAN) si l’utilisateur a activé la gestion Web à distance sur son appareil. La conséquence de cette attaque est une prise de contrôle du système d’exploitation connu sous le nom de « DrayOS », qui implémente les fonctionnalités du routeur. Sur les appareils qui ont un système d’exploitation Linux sous-jacent (comme le Vigor 3910), il est alors possible de pivoter vers le système d’exploitation sous-jacent et de prendre pied de manière fiable sur l’appareil et le réseau local. Les appareils qui exécutent DrayOS en tant que système d’exploitation bare-metal seront plus difficiles à compromettre, car il faut que l’attaquant ait une meilleure compréhension des éléments internes de DrayOS.
Détection
Les tentatives d’exploitation peuvent être détectées par une journalisation/alerte lorsqu’une chaîne base64 malformée est envoyée via une requête POST au point de terminaison /cgi bin/wlogin.cgi sur le routeur de l’interface de gestion Web. Les chaînes codées en base64 sont censées se trouver dans les champs aa et ab de la requête POST. Les chaînes de base64 malformées indiquant une attaque ont un nombre anormalement élevé de remplissage %3D. Tout nombre supérieur à trois doit être considéré comme suspect. La plateforme de sécurité réseau Trellix a également publié des règles pour les tentatives d’exploitation de cette vulnérabilité sous l’identifiant DrayTek CVE-2022-32548 Buffer Overflow Attempt.
Recommandations
Voici les recommandations que nous adressons aux personnes opérant un routeur DrayTek
potentiellement vulnérable :
- Assurez-vous que le dernier micrologiciel est déployé sur votre appareil. Vous pouvez trouver le dernier micrologiciel en visitant le site Web du fabricant.
- Dans l’interface de gestion de l’appareil, vérifiez que la mise en miroir des ports, les paramètres DNS, l’accès VPN autorisé et tout autre paramètre pertinent n’ont pas été altérés.
- N’exposez pas l’interface de gestion à Internet, sauf en cas de nécessité absolue. Si vous le faites, assurez-vous d’activer le 2FA et la restriction d’IP pour minimiser le risque d’une attaque.
- Modifiez le mot de passe des appareils concernés et révoquez tout secret stocké sur le routeur qui aurait pu être divulgué.
Les routeurs de périphérie, tels que le routeur Vigor 3910, se situent à la frontière entre les réseaux internes et externes. En tant que tels, ils constituent une cible de choix pour les cybercriminels et les acteurs de la menace. L’intrusion à distance dans les routeurs peut conduire à une compromission totale du réseau interne de l’entreprise. C’est pourquoi il est essentiel de s’assurer que ces appareils restent sécurisés et mis à jour. Les fournisseurs de routeurs doivent impérativement mettre en place des processus permettant de réagir rapidement et efficacement à la divulgation d’une vulnérabilité, comme l’a fait DrayTek.
Note : Cet article et les informations qu’il contient décrivent une recherche en sécurité informatique réalisée à des fins éducatives uniquement et pour la commodité des clients de Trellix. Trellix mène des recherches conformément à sa politique de divulgation raisonnable des vulnérabilités | Trellix. Toute tentative de recréation d’une partie ou de la totalité des activités décrites se fait aux risques et périls de l’utilisateur, et ni Trellix ni ses sociétés affiliées ne pourront en être tenus responsables.