Heading
Overzicht
In december 2024 werd een kritieke kwetsbaarheid ontdekt, aangeduid als CVE-2024-12987, in DrayTek Vigor2960 en Vigor300B routers met firmware versie 1.5.1.4. Deze kwetsbaarheid stelt externe aanvallers in staat om willekeurige besturingssysteemopdrachten uit te voeren via de webbeheerinterface, wat mogelijk leidt tot compromittering van de volledige netwerkinfrastructuur.
Technische Details
Getroffen Apparaten:
- DrayTek Vigor2960 (Firmware v1.5.1.4)
- DrayTek Vigor300B (Firmware v1.5.1.4)
Kwetsbaarheidstype: OS Command Injection
Aanvalsvector: Extern via Webbeheerinterface
CVSS Scores:
- CVSS v3.1: 7.3 (Hoog)
- CVSS v2.0: 7.5 (Hoog)
De kwetsbaarheid bevindt zich in het endpoint /cgi-bin/mainfunction.cgi/apmcfgupload van de webinterface. Onjuiste verwerking van de session parameter maakt het mogelijk voor aanvallers om kwaadaardige commando's in te voegen, wat leidt tot ongeautoriseerde opdrachtuitvoering op het apparaat.
Exploitatie en Impact
Publiek beschikbare proof-of-concept (PoC) exploits voor CVE-2024-12987 zijn uitgebracht, wat het risico op misbruik vergroot. Onderzoekers hebben aangetoond hoe een eenvoudige HTTP POST-aanvraag kan worden gebruikt om de kwetsbaarheid uit te buiten, waarbij aanvallers commando's kunnen uitvoeren zoals pwd of meer kwaadaardige instructies om de configuratie van het apparaat te manipuleren.
Potentiële Impacten:
- Ongeautoriseerde Toegang: Aanvallers kunnen volledige controle krijgen over de router en gevoelige netwerkgegevens benaderen.
- Netwerkcompromittering: Gecompromitteerde routers kunnen worden gebruikt als toegangspunten om interne netwerken binnen te dringen.
- Dienstonderbreking: Kwaadaardige opdrachten kunnen netwerkdiensten verstoren, wat leidt tot downtime en operationele verliezen.
Maatregelen
1. Firmware Update: DrayTek heeft firmware versie 1.5.1.5 uitgebracht om deze kwetsbaarheid aan te pakken. Gebruikers dienen hun apparaten direct bij te werken naar deze versie.
2. Toegangscontrole:
- Beperk toegang tot de webinterface tot vertrouwde IP-adressen.
- Implementeer sterke authenticatie om ongeautoriseerde toegang te voorkomen.
3. Netwerkmonitoring:
- Monitor netwerkverkeer op ongewone activiteiten die kunnen duiden op pogingen tot exploitatie.
- Gebruik intrusion detection systems (IDS) om verdachte gedragingen te detecteren en te melden.
SecurityHive's Vulnerability Management Oplossing
Om dergelijke kwetsbaarheden proactief te beheren en te mitigeren, biedt SecurityHive een uitgebreide Vulnerability Management oplossing.
Belangrijkste Functies:
- Continue Monitoring: Automatische scans van netwerkapparaten om bekende kwetsbaarheden zoals CVE-2024-12987 te identificeren.
- Risicobeoordeling: Prioriteer kwetsbaarheden op basis van ernst en impact om herstelacties effectief te richten.
- Patchbeheer: Beheer firmware-updates voor alle apparaten om tijdige toepassing van beveiligingspatches te garanderen.
- Compliance Rapportage: Genereer rapporten om naleving van beveiligingsnormen en regelgeving aan te tonen.
Voordelen:
- Verminderde Risico-exposure: Vroege detectie en herstel minimaliseren de kans op aanvallen.
- Operationele Efficiëntie: Geautomatiseerde processen verminderen handmatig werk in Vulnerability Management.
- Verbeterde Beveiliging: Up-to-date apparaten en configuraties versterken de algemene netwerkbeveiliging.
Conclusie
CVE-2024-12987 vormt een aanzienlijke dreiging voor organisaties die gebruik maken van DrayTek Vigor2960 en Vigor300B routers. Directe actie is vereist om getroffen apparaten bij te werken en robuuste beveiligingsmaatregelen te implementeren. Met SecurityHive's Vulnerability Management oplossing beschik je over de juiste tools en inzichten om je netwerk te beschermen tegen dergelijke kritieke kwetsbaarheden.
Blijf Beschermd met SecurityHive
Zorg voor de veiligheid van je netwerk door kwetsbaarheden proactief te beheren. Ontdek hoe SecurityHive's Vulnerability Management jouw organisatie kan beschermen.
