Múltiples vulnerabilidades en routers DrayTek, ¡actualiza!
24 modelos de routers DrayTek pertenecientes a las series Vigor, 11 de los cuales han alcanzado el final de su vida útil (EoL - End of Life). El listado concreto es:
- Vigor1000B, Vigor2962, Vigor3910;
- Vigor3912;
- Vigor165, Vigor166;
- Vigor2135, Vigor2763, Vigor2765, Vigor2766;
- Vigor2865, Vigor2866, Vigor2915;
- Vigor2620, VigorLTE200;
- Vigor2133, Vigor2762, Vigor2832;
- Vigor2860, Vigor2925;
- Vigor2862, Vigor2926;
- Vigor2952, Vigor3220.
Se han detectado 14 vulnerabilidades de distintas severidades que han recibido el alias de DRAY:BREAK, entre las que se encuentran 2 críticas, en routers DrayTek que afectan a más de 700.000 dispositivos, la mayoría utilizados por empresas, expuestos en Internet. Estas vulnerabilidades podrían permitir a un ciberdelincuente hacerse con el control de los routers, pudiendo causar robo de datos, ataques de ransomware, compromiso total del dispositivo o interrupción de los sistemas.
DrayTek ha lanzado actualizaciones de firmware que solucionan las vulnerabilidades descritas. Se recomienda a todos los usuarios actualizar el firmware a la última versión disponible a través del portal DrayTek:
- Vigor1000B, Vigor2962, Vigor3910: 4.3.2.8 y 4.4.3.1;
- Vigor3912: 4.3.6.1;
- Vigor165, Vigor166: 4.2.7;
- Vigor2135, Vigor2763, Vigor2765, Vigor2766: 4.4.51;
- Vigor2865, Vigor2866, Vigor2915: 4.4.5.3;
- Vigor2620, VigorLTE200: 3.9.8.9;
- Vigor2133, Vigor2762, Vigor2832: 3.9.9;
- Vigor2860, Vigor2925: 3.9.8;
- Vigor2862, Vigor2926: 3.9.9.5;
- Vigor2952, Vigor3220: 3.9.8.2.
Además, se aconseja desactivar el acceso remoto si no es necesario y, en caso de serlo, utilizar listas de control de acceso (ACL) y un doble factor de autenticación (2FA). Monitorear eventos inusuales habilitando registros (syslog) ayudará a detectar cambios no autorizados y segmentar la red evitará que un posible ataque comprometa toda la infraestructura.
También se recomienda encarecidamente revisar los dispositivos EoL (sin soporte) y considerar la opción de reemplazarlos lo antes posible si no pueden ser actualizados.
Recuerda la importancia de cambiar la contraseña predeterminada de tus routers y utilizar contraseñas seguras y únicas para cada dispositivo. El ransomware es un tipo de malware que se caracteriza por bloquear el dispositivo afectado o la información que contiene para después pedir un rescate, normalmente económico, a cambio de su liberación.
Entre las 14 vulnerabilidades detectadas, destacan 2 de severidad crítica, que podrían permitir a un ciberdelincuente realizar diferentes ataques, como ejecución remota de código, denegación de servicio que afectase a la disponibilidad del dispositivo o inyección de comandos.
Esto significa que los ciberdelincuentes podrían controlar el router sin interacción del usuario y utilizarlo como punto de entrada para ataques mayores, como ransomware o robo de datos.
Además, muchos de los routers afectados son modelos antiguos que han alcanzado el final de su vida útil (EoL), lo que podría dificultar la aplicación de los parches que solucionan las vulnerabilidades.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
