ISGroup Cybersicherheitsberatung

Vulnerabilità di Command Injection nei dispositivi DrayTek Vigor Gateway (CVE-2024-12987)

Ein Sicherheitsforscher von Netsecfish hat eine kritische Command-Injection-Schwachstelle (CVE-2024-12987) entdeckt, die die Web-Management-Schnittstelle von DrayTek-Gateway-Geräten betrifft. Diese Schwachstelle betrifft über 66.000 mit dem Internet verbundene Geräte und ermöglicht es entfernten Angreifern, beliebige Befehle auszuführen. Die Sicherheitslücke befindet sich im Endpunkt /cgi-bin/mainfunction.cgi/apmcfgupload, wo eine unzureichende Bereinigung des session-Parameters Command-Injection-Angriffe ermöglicht.

ProduktDrayTek Vigor
Datum10.01.2025 15:58:02
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

Eine Command-Injection-Schwachstelle ist in den Geräten DrayTek Vigor2960 und Vigor300B vorhanden, auf denen die Softwareversion 1.5.1.4 läuft. Die Schwachstelle entsteht durch eine unzureichende Eingabebereinigung des Parameters ‘session’ in der Web-Management-Schnittstelle innerhalb des Endpunkts /cgi-bin/mainfunction.cgi/apmcfgupload.

Die Schwachstelle kann durch das Senden einer speziell präparierten HTTP-Anfrage mit einem bösartig formatierten Session-Parameter ausgenutzt werden. Das injizierte Payload folgt dem Format: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx0\xb4%52$c%52$c<INJECTED_COMMAND>. Für einen erfolgreichen Exploit ist die Verwendung des HTTP/1.0-Protokolls erforderlich.

Betroffene Produkte:

  • DrayTek Vigor2960 (Version 1.5.1.4)
  • DrayTek Vigor300B (Version 1.5.1.4)

Auswirkungen:

Eine erfolgreiche Ausnutzung könnte es Angreifern ermöglichen:

  • Beliebige Systembefehle aus der Ferne auszuführen
  • Gerätekonfigurationen zu manipulieren
  • Sensible Informationen zu extrahieren
  • Potenziell interne Netzwerke zu kompromittieren

Technische Details:

  • Einstiegspunkt: /cgi-bin/mainfunction.cgi/apmcfgupload
  • Anfälliger Parameter: session
  • Erforderliches Protokoll: HTTP/1.0
  • Payload-Format: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx0\xb4%52$c%52$c<INJECTED_COMMAND>

Empfehlungen

Administratoren sollten:

  1. Eingabevalidierung für alle CGI-Skript-Parameter anwenden
  2. Den Zugriff auf die Web-Management-Schnittstelle einschränken
  3. Firmware-Updates überwachen und bei Verfügbarkeit einspielen
  4. Eine IP-Whitelist für den Management-Zugriff implementieren

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *