Twee zerodaylekken in routers van Draytek zijn zeker al sinds december gebruikt voor het afluisteren van het netwerkverkeer van organisaties en het installeren van backdoors. De netwerkfabrikant heeft inmiddels beveiligingsupdates uitgebracht. Dat meldt securitybedrijf Qihoo 360.
Onderzoekers van het bedrijf ontdekten op 4 december de eerste zeroday-aanvallen. Die maakten gebruik van een kwetsbaarheid in de Vigor3900-, Vigor2960- en Vigor300B-routers waardoor ongeautoriseerde gebruikers op afstand commando's op de netwerkapparatuur konden uitvoeren. Op 28 januari werd er een tweede zerodaylek ontdekt dat actief door aanvallers werd gebruikt en ook het op afstand uitvoeren van commando's mogelijk maakte.
Aanvallers gebruiken de kwetsbaarheden voor het installeren van scripts waarmee al het e-mail- en ftp-verkeer op poorten 21, 25, 143 en 110 wordt onderschept. Tevens installeren de aanvallers verschillende backdoors en maken ook backdoor-accounts aan. Onderzoekers van Qihoo 360 waarschuwden Draytek op 8 december vorig jaar voor het eerste zerodaylek, maar ontdekten later pas dat het communicatiekanaal niet bleek te werken.
Op 25 december verstrekte Qihoo 360 wat details over de aanvallen op Twitter, zonder de naam van Draytek te noemen. Uiteindelijk kwam Draytek op 10 februari met beveiligingsupdates. Daarop hebben de onderzoekers nu de details over de kwetsbaarheden openbaar gemaakt. Organisaties krijgen het advies om de firmware-updates te installeren en te controleren dat hun netwerkapparaten niet zijn gecompromitteerd. Op het moment dat de eerste aanvallen werden ontdekt waren er volgens Qihoo 360 zo'n 100.000 kwetsbare Draytek-routers online.
Deze posting is gelocked. Reageren is niet meer mogelijk.