CSIRT Toscana Sanate vulnerabilità in prodotti DrayTek (AL01/241007/CSIRT-ITA)
Data:
7 Ottobre 2024 12:34
Sintesi
Aggiornamenti di sicurezza sanano molteplici vulnerabilità, di cui 2 con gravità “critica” e 9 con gravità “alta”, presenti nei dispositivi Vigor di DrayTek.
Note: un Proof of Concept (PoC) per lo sfruttamento delle CVE-2024-41585 e CVE-2024-41592 risulta disponibile in rete
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (75,64/100)1.
Tipologia
- Remote Code Execution
- Denial of Service
- Information Disclosure
Prodotti e versioni affette
| Prodotti DrayTek | Versioni Vulnerabili | EoL |
|---|---|---|
| Vigor1000B, Vigor2962, Vigor3910 | 4.3.x e 4.4.x, versioni precedenti alla 4.3.2.8 e 4.4.3.1 | No |
| Vigor 3912 | Versioni precedenti alla 4.3.6.1 | No |
| Vigor165, Vigor166 | Versioni precedenti alla 4.2.7 | No |
| Vigor2135, Vigor2763, Vigor2765, Vigor2766 | Versioni precedenti alla 4.4.5.3 | No |
| Vigor2865, Vigor2866 | Versioni precedenti alla 4.4.5.2 | No |
| Vigor2915 | Versioni precedenti alla 4.4.5.3 | No |
| Vigor2620, VigorLTE200 | Versioni precedenti alla 3.9.8.9 | No |
| Vigor2133, Vigor2762, Vigor2832 | Versioni precedenti alla 3.9.9 | Si |
| Vigor2860, Vigor2925 | Versioni precedenti alla 3.9.8 | Si |
| Vigor2862, Vigor2926 | Versioni precedenti alla 3.9.9.5 | Si |
| Vigor2952, Vigor3220 | Versioni precedenti alla 3.9.8.2 | Si |
N.B. Gli aggiornamenti per i prodotti EoL risolvono la sola vulnerabilità CVE-2024-41592.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:
Riferimenti
https://www.forescout.com/resources/draybreak-draytek-research/
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.