23 replies to this topic

[WanWizard]

We are writing to inform you about critical security vulnerabilities discovered in several DrayTek products on June 20, 2024. These vulnerabilities include Cross-Site Scripting, Denial of Service, and Remote Code Execution issues. We have addressed these concerns and released firmware updates to enhance security.

Vulnerability Details:

• Published Date: 2024/10/4
• CVE IDs: CVE-2024-41583 to CVE-2024-41596
• Types: Cross-Site Scripting, Denial of Service, Remote Code Execution

CVE number  CVSS CVE-2024-41583  4.7 CVE-2024-41584  4.7 CVE-2024-41585  6.8 CVE-2024-41586  8 CVE-2024-41587  5.4 CVE-2024-41588  8 CVE-2024-41589  8.8 CVE-2024-41590  8 CVE-2024-41591  6.1 CVE-2024-41592  8 CVE-2024-41593  9.8 CVE-2024-41594  7.5 CVE-2024-41595  8 CVE-2024-41596  8

Urgent Action Required:

1. Upgrade your firmware immediately to the version listed below for your device.
2. Before upgrading: 

• Back up your current configuration (System Maintenance > Config Backup).
• Use the ".ALL" file for upgrading to preserve your settings.
• If upgrading from an older version, review the release notes for specific instructions.

3. If remote access is enabled: 

• Disable it unless absolutely necessary.
• Use an access control list (ACL) and enable 2FA if possible.
• For unpatched routers, disable both remote access (admin) and SSL VPN.
• Note: ACL doesn't apply to SSL VPN (Port 443), so temporarily disable SSL VPN until upgraded.

Affected Products and Fixed Firmware Versions: 

• Vigor165 - 4.2.7
• Vigor166 - 4.2.7 
• Vigor1000B - 4.3.2.8 4.4.3.2* 
• Vigor2133 - 3.9.9 
• Vigor2135 - 4.4.5.3 
• Vigor2620 LTE - 3.9.8.9 
• Vigor2762 - 3.9.9 
• Vigor2763 - 4.4.5.3 
• Vigor2765 - 4.4.5.3 
• Vigor2766 - 4.4.5.3 
• Vigor2832 - 3.9.9 
• Vigor2860 / 2860 LTE - 3.9.8 
• Vigor2862 / 2862 LTE - 3.9.9.5 
• Vigor2865 / 2865 LTE - 4.4.5.2 
• Vigor2866 / 2866 LTE - 4.4.5.2 
• Vigor2915 - 4.4.3.2 
• Vigor2925 / 2925 LTE - 3.9.8 
• Vigor2926 / 2926 LTE - 3.9.9.5 
• Vigor2927 / 2927 LTE / 2927L-5G - 4.4.5.5 
• Vigor2952 / 2952 LTE - 3.9.8.2 
• Vigor2962 - 4.3.2.8 4.4.3.1 
• Vigor3220n - 3.9.8.2 
• Vigor3910 - 4.3.2.8 4.4.3.1 
• Vigor3912 - 4.3.6.1 

*Firmware unreleased

Additional Security Measures: 

• Regularly check for and apply firmware updates.
• Implement strong, unique passwords for all accounts.
• Enable and configure firewall settings appropriately.
• Monitor your network for any suspicious activities.

Next Steps:If you haven't already, please update your device immediately. For products with unreleased firmware (marked with *), please stay vigilant for our upcoming announcements and update promptly once available.

Should you need any assistance with the update process or have security-related inquiries, please don't hesitate to contact our Technical Support team.

We appreciate your prompt attention to this critical security matter and thank you for your continued trust in DrayTek products.

Best regards, DrayTek Security Team

[Jork]

Een kwetsbaar zaakje in herhaling daar. Twee jaar geleden ook al.

https://exa.net.uk/k...-vulnerability/.

[Tech]

Een kwetsbaar zaakje in herhaling daar. Twee jaar geleden ook al.

https://exa.net.uk/k...-vulnerability/.

Toen betrof het maar drie routers, ditmaal is de lijst aanmerkelijk langer, ook mijn router staat ertussen en heb direct de boel ge-update naar de laatste versie.

[WanWizard]

Het had ook wel iets sneller gemogen, dit is van 4 oktober, kreeg deze mail vanmorgen pas van de importeur.

[Tech]

Dat is wel heel slordig, anderhalve maand later een keer publiek melden....

[tonskidutch]

Ik vroeg me af na het lezen van dit topic, of die vulnerabilities / kwetsbaarheden niet ook op andere modems voorkomen. Zo te zien zijn er verschillen qua CVS en Firmware per merk.

 

Ik zocht gelijk naar iets voor mijn Ziggo Modem, maar die kan helemaal niet door de gebruiker geupgrade / opgewaardeerd worden...

Wat doe ik in zo'n geval?

[Jork]

Er is elke dag in de IT wel ergens een kwetsbaarheid.

Dweilen met de kraan open. Gekke wereld!

 

Voor wie het wil volgen kijk eens op bleepingcomputer regelmatig.

Dan had de TS het in elk geval in een vroeger stadia opgemerkt.

https://www.bleeping...xposed-routers/

Edited by Jork, 24 October 2024 - 10:41.

[WanWizard]

De TS heeft al tijden geen Draytek routers meer in gebruik, maar staat nog wel in het mailing bestand van de importeur.

 

En weet dat er veel zijn die dat wel hebben, en vast dit bericht niet gehad hebben. Of tijd en zin hebben om zelf achter al dit soort dingen te gaan.

[WanWizard]

Ik vroeg me af na het lezen van dit topic, of die vulnerabilities / kwetsbaarheden niet ook op andere modems voorkomen. Zo te zien zijn er verschillen qua CVS en Firmware per merk.

 

Daar kun je wel quasi zeker van zijn.

 

Ik zocht gelijk naar iets voor mijn Ziggo Modem, maar die kan helemaal niet door de gebruiker geupgrade / opgewaardeerd worden...

Wat doe ik in zo'n geval?

 

Een algemeen probleem met om het even wat je aan het internet hangt, of het nu een router, camera of CV thermostaat is. Of met onze STB's...
 

Die dingen worden gemaakt om geld te verdienen, het verlenen van service, in welke vorm dan ook, kost geld, en wordt dus uit alle macht vermeden.

[40H3X]

Mijn ervaring is dat DrayTek een prima merk is, maar helaas is het met veel merken, garantie en onderhoud tot de voordeur. V.w.b. netwerk gerelateerde zaken zou je alleen "goed" spul moeten kopen, echter wat ik vaak zie is 10 rangs HW (veel All In One) en never updates. Vandaag de dag nu heel veel online is zou iedereen naast een goede Router een DNS sinkhole en een eigen DNS resolver moeten hebben, maar aan dezeHW is vaak minder uitgeven dan de 3-punts sloten op het huis, tja...

[WanWizard]

Het is wel anders geweest, ik heb in het verleden, toen we zakelijk overal drayteks hadden, meerdere malen direct samengewerkt met de developers om issues te fixen.

 

Het zou al veel helpen als iedereen een "default deny all" policy op zijn firewall zo hebben, je wilt niet weten wat voor zooi er ongefilterd de deur uit gaat.

 

Ik merk het overigens ook bij veel (developers van) klanten, zo gewend aan low-budget direct-connected (cloud) servers dan ze stom staat te kijken dat ze niet van overal met username de server in kunnen, van overal kunnen deployen, of om het even wat aan roepen vanuit hun applicatie.

De keren dat we te horen krijgen dat "al die security maar lastig is" geeft al aan dat het een mentaliteitsprobleem is. Zolang developers niet weten waar het goed voor is, hoe kun je dan veilige software verwachten?

[40H3X]

“Default deny all egress”, maar dat is veeeeeeel te lastig, dan moet je elk bitje wat de deur uitgaat accoderen 

[WanWizard]

Ja. Zodat je weet wat er de deur uit gaat, en een bewust besluit kunt nemen dat al dan niet toe te laten.

[Jork]

Heeft iemand ervaring met een DPN. Ik ben wel geïnteresseerd erin.

[WanWizard]

DPN's zijn niks nieuws, dynamic multipoint VPN's bestaan al heel lang, ik heb ze nog op mijn Cisco examen gehad, in een vorig leven...

[Jork]

Ik zat aan de Deeper connect mini te denken.

[WanWizard]

Die moest ik opzoeken.

 

Wat ik er van begrijp zet je daarmee jou internet verbinding in voor het gebruik door vreemden. Waarmee jou publiek IP gekoppeld wordt aan alles wat zij doen. Daar zou ik nooit aan beginnen.

 

Oh, en het staat ook nog crypto en NFT's te minen?

[Jork]

Die opties die je noemt ga ik zeker uitvinken.

[WanWizard]

Kan dat dan? Want het delen van je internet verbinding lijkt me het business model van dit doosje.

 

Overigens, als ik de scenario's zo eens bekijk, dan zit dat doosje achter je router, in je LAN. Wie heeft er dan nog meer toegang tot je netwerk?

 

Ik zou zelf never-ever een third-party black box in mijn LAN toelaten (alles wat hier internet access nodig heeft zit op een apart subnet met client separation).

[40H3X]

"That's the way to go", hier een vergelijkbare setup met client isolation op de AP voor elk VLAN en nog wat extra's via de router, zoals dat RFC1918 default niet met elkaar mag praten.