14 agujeros en los routers DrayTek: 700.000 redes están a punto de ser pirateadas

Expertos de la empresa Forescout han descubierto 14 vulnerabilidades en los routers de DrayTek, lo que podría permitir a los atacantes obtener acceso completo a los dispositivos y utilizarlos como punto de entrada a las redes de grandes empresas y hogares privados. Entre los problemas detectados, dos se han calificado como críticos, nueve tienen un nivel de peligro alto y tres son de nivel medio.

La mayor amenaza la representa la vulnerabilidad de desbordamiento de búfer (CVE-2024-41592) en la función “GetCGI()” de la interfaz web del router, lo que podría causar una denegación de servicio (DoS) o ejecución remota de código (RCE). Otra vulnerabilidad crítica (CVE-2024-41585) puede permitir la inyección de comandos del sistema operativo en el archivo binario “recvCmd”, utilizado para la interacción entre el host y el sistema operativo invitado.

A continuación se presenta la lista completa de las vulnerabilidades encontradas:

1. CVE-2024-41589 (CVSS: 7.5). Uso de credenciales de administrador idénticas en el sistema (incluyendo el SO invitado y principal). Obtener estos datos podría llevar a la completa vulneración del sistema.
2. CVE-2024-41591 (CVSS: 7.5). La interfaz web contiene la página “doc/hslogp1_link.htm”, que acepta código HTML a través del parámetro “content” en la cadena de consulta y lo muestra sin filtrado, lo que genera una vulnerabilidad de scripting entre sitios.
3. CVE-2024-41587 (CVSS: 4.9). La interfaz web permite configurar un mensaje de bienvenida para cada usuario. Una verificación insuficiente de los datos de entrada permite la inyección de código JavaScript arbitrario, lo que genera una vulnerabilidad de scripting entre sitios almacenado.
4. CVE-2024-41583 (CVSS: 4.9). La interfaz web permite configurar el nombre del router que se muestra en las páginas. Debido a la verificación insuficiente de los datos de entrada, es posible inyectar código JavaScript arbitrario.
5. CVE-2024-41584 (CVSS: 4.9). La página de inicio de sesión “wlogin.cgi” de la interfaz web acepta el parámetro “sFormAuthStr” para protegerse contra CSRF. El valor de este parámetro se muestra en la página web correspondiente sin filtrado, lo que permite la inyección de código JavaScript limitado.
6. CVE-2024-41592 (CVSS: 10). La función “GetCGI()” de la interfaz web, que procesa datos de la solicitud HTTP, tiene una vulnerabilidad de desbordamiento de búfer al manejar los parámetros de la cadena de consulta.
7. CVE-2024-41585 (CVSS: 9.1). El archivo binario “recvCmd”, utilizado para el intercambio de datos entre el SO principal y el invitado, es vulnerable a ataques de inyección de comandos del sistema operativo.
8. CVE-2024-41588 (CVSS: 7.2). Las páginas CGI “/cgi-bin/v2x00.cgi” y “/cgi-bin/cgiwcg.cgi” de la interfaz web son vulnerables a un desbordamiento de búfer debido a la falta de verificación de la longitud de los parámetros de la cadena de consulta al usar la función “strncpy()”.
9. CVE-2024-41590 (CVSS: 7.2). En varias páginas CGI de la interfaz web se han encontrado vulnerabilidades de desbordamiento de búfer debido a la verificación insuficiente de los datos pasados a la función “strcpy()”. La explotación requiere credenciales válidas.
10. CVE-2024-41586 (CVSS: 7.2). La página “/cgi-bin/ipfedr.cgi” de la interfaz web es vulnerable a un desbordamiento de pila al procesar una cadena de consulta larga.
11. CVE-2024-41596 (CVSS: 7.2). Varias vulnerabilidades de desbordamiento de búfer en la interfaz web debido a la falta de verificación al manejar los parámetros del formulario CGI.
12. CVE-2024-41593 (CVSS: 7.2). La función “ft_payloads_dns()” de la interfaz web contiene una vulnerabilidad de desbordamiento de búfer en el heap debido a un error en la operación del argumento de longitud de la llamada “_memcpy()”. Esto podría llevar a escribir fuera de los límites del búfer y a la corrupción de la memoria.
13. CVE-2024-41595 (CVSS: 7.2). Varias páginas CGI de la interfaz web carecen de verificación de límites al realizar operaciones de lectura y escritura relacionadas con diversas configuraciones de la interfaz, lo que podría causar una denegación de servicio.
14. CVE-2024-41594 (CVSS: 7.6). El backend del servidor web para la interfaz web utiliza una cadena estática para inicializar el generador de números aleatorios de OpenSSL para TLS. Esto podría dar lugar a la filtración de información y a ataques de tipo "man-in-the-middle" (MiTM).

El análisis de Forescout reveló que alrededor de 704,000 routers de DrayTek tienen la interfaz web abierta, lo que los hace un objetivo fácil para los ataques. La mayoría de estos dispositivos se encuentran en Estados Unidos, Vietnam, Países Bajos, Taiwán y Australia.

Tras la divulgación responsable de las vulnerabilidades, DrayTek lanzó correcciones para todas las brechas identificadas, incluidas las críticas y las que afectan a dispositivos con estado End-of-Life (fin de vida útil). Los expertos recomiendan encarecidamente actualizar el firmware de los dispositivos y deshabilitar el acceso remoto al panel web del router si no se utiliza.