Δύο ομάδες hacking φαίνεται ότι εκμεταλλεύονται δύο σφάλματα στα Routers της DrayTek, ώστε να μπορέσουν να πραγματοποιήσουν επιθέσεις, όπως ανακάλυψαν ερευνητές ασφαλείας.
Μία άλλη παρόμοια περίπτωση ήταν η επίθεση που είχαν πραγματοποιήσει κακόβουλοι παράγοντες σε router της Home, αλλάζοντας τις ρυθμίσεις DN, ώστε να μπορούν να μεταδώσουν κακόβουλο λογισμικό μέσω της ιστοσελίδας.
Τον τελευταίο καιρό, παρατηρείται μία νέα τάση, όπου οι κακόβουλοι παράγοντες εκμεταλλεύονται σφάλματα zero-day για να εκτελέσουν επιθέσεις. Οι επιθέσεις αυτές συμπεριλαμβάνουν την παρακολούθηση της κίνησης δικτύου μιας συσκευής, την εκτέλεση υπηρεσιών SSH, τη δημιουργία backdoors σε συστήματα και την εμφύτευση κακόβουλων Web Session backdoors.
Η συνεχιζόμενη επίθεση zero-day αποκαλύφθηκε αρχικά στις 25 Δεκεμβρίου 2019 και έχει εκμεταλλευτεί ευρέως μέχρι σήμερα.
Πρόκειται για δύο ευπάθειες που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα. Η πρώτη, επηρεάζει το πεδίο keyPath που χρησιμοποιείται για τον ορισμό του πρόσθετου αρχείου του ιδιωτικού κλειδιού RSA για να ξεκινήσει μια αίτηση σύνδεσης στο router της DrayTek.
Η άλλη ευπάθεια RCE στο rtick, καθιστά δυνατή την έγχυση εντολών, όταν το formCaptcha (), μια λειτουργία που χρησιμοποιείται στo CAPTCHA, δεν ελέγχει την εισερχόμενη χρονική σήμανση από το rtick.
Σύμφωνα με τις αναφορές του netlab 360: “τα δύο σημεία εισαγωγής εντολών των ευπαθειών zero-day είναι τα keyPath και rtick, που βρίσκονται στο /www/cgi-bin/mainfunction.cgi και το αντίστοιχο πρόγραμμα Web Server είναι το / usr / sbin / lighttpd”.
Η πρώτη ομάδα hacking, χρησιμοποιεί την ευπάθεια keyPath RCE για τη λήψη και εκτέλεση του script (http://103.82.143.51:58172/vig/tcpst1).
Αργότερα κατεβάζει ένα άλλο script,
http://103.82.143.51:58172/vi1
http://103.82.143.51:58172/vig/mailsend.sh1
Η άλλη ομάδα hacking, χρησιμοποιεί την ευπάθεια εισαγωγής εντολών rtick, προκειμένου να δημιουργήσει 2 ζεύγη Web Session Backdoors που δεν αφήνουν τη συσκευή δικτύου DrayTek Vigor να αποσυνδεθεί εκτός εάν η συσκευή επανεκκινηθεί.
Αργότερα δημιουργούν ένα backdoor SSH σε TCP / 22335 και TCP / 32459
