Ejecución remota de código en rúteres DrayTek
- Vigor3910, versiones anteriores a la 4.3.1.1;
- Vigor1000B, versiones anteriores a la 4.3.1.1;
- Vigor2962 Series, versiones anteriores a la 4.3.1.1;
- Vigor2927 Series, versiones anteriores a la 4.4.0;
- Vigor2927 LTE Series, versiones anteriores a la 4.4.0;
- Vigor2915 Series, versiones anteriores a la 4.3.3.2;
- Vigor2952 / 2952P, versiones anteriores a la 3.9.7.2;
- Vigor3220 Series, versiones anteriores a la 3.9.7.2;
- Vigor2926 Series, versiones anteriores a la 3.9.8.1;
- Vigor2926 LTE Series, versiones anteriores a la 3.9.8.1;
- Vigor2862 Series, versiones anteriores a la 3.9.8.1;
- Vigor2862 LTE Series, versiones anteriores a la 3.9.8.1;
- Vigor2620 LTE Series, versiones anteriores a la 3.9.8.1;
- VigorLTE 200n, versiones anteriores a la 3.9.8.1;
- Vigor2133 Series, versiones anteriores a la 3.9.6.4;
- Vigor2762 Series, versiones anteriores a la 3.9.6.4;
- Vigor167, versiones anteriores a la 5.1.1;
- Vigor130, versiones anteriores a la 3.8.5;
- VigorNIC 132, versiones anteriores a la 3.8.5;
- Vigor165, versiones anteriores a la 4.2.4;
- Vigor166, versiones anteriores a la 4.2.4;
- Vigor2135 Series, versiones anteriores a la 4.4.2;
- Vigor2765 Series, versiones anteriores a la 4.4.2;
- Vigor2766 Series, versiones anteriores a la 4.4.2;
- Vigor2832, versiones anteriores a la 3.9.6;
- Vigor2865 Series, versiones anteriores a la 4.4.0;
- Vigor2865 LTE Series, versiones anteriores a la 4.4.0;
- Vigor2866 Series, versiones anteriores a la 4.4.0;
- Vigor2866 LTE Series, versiones anteriores a la 4.4.0.
Los investigadores de Trellix Thread Labs han descubierto una vulnerabilidad de ejecución remota de código, y cuyo objetivo son rúteres de pequeñas oficinas y hogares en distintos países entre los que se encuentra España.
Actualizar el dispositivo a la última versión del firmware y seguir las siguientes recomendaciones:
- En la interfaz de gestión del dispositivo, verifica que la replicación de puertos (opción port mirroring), la configuración de DNS, el acceso VPN autorizado y cualquier otra configuración relevante no han sido manipulados
- No expongas la interfaz de gestión a Internet a menos que sea absolutamente necesario. Si lo haces, asegúrate de activar el 2FA y la restricción de IP para minimizar el riesgo de un ataque.
- Cambia la contraseña de los dispositivos afectados y cambia cualquier información almacenada en el rúter que pueda haber sido filtrada.
Es importante revisar la configuración general de los dispositivos de la red y los empleados para teletrabajar, además de establecer las políticas adecuadas:
- Configurar de forma segura la wifi según el documento: ‘Seguridad en redes wifi: una guía de aproximación para el empresario’.
- Aplicar las directrices para teletrabajar de forma segura según esta TemáTICa de Teletrabajo.
- Verificar que los dispositivos IoT se configuran siguiendo las pautas de esta guía: ‘Seguridad en la instalación y uso de dispositivos IoT: una guía de aproximación para el empresario’.
- ‘El router, la defensa inicial de las comunicaciones de tu negocio’.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), y el formulario web.
Trellix Threat Labs ha reportado una vulnerabilidad de ejecución remota de código que afecta a múltiples rúteres DrayTek, esta vulnerabilidad podría permitir a un ciberdelincuente comprometer totalmente el rúter y por ende a los recursos internos.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT
