Het Centrum voor Cybersecurity België (CCB) heeft uit betrouwbare bron vernomen dat er een niet-geïdentificeerde kwetsbaarheid in bepaalde DrayTek-routers zit. Hackers kunnen malafide code injecteren in de toestellen waarmee ze bedrijven potentieel kunnen confronteren met ransomware.
Het CCB bevestigt in een eigen onderzoek dat de DrayTek Vigor2960 al zeker getroffen is door de kwetsbaarheid. Het is volgens het centrum niet uitgesloten dat andere routers in het gamma geaffecteerd zijn.
Dankzij de kwetsbaarheid kunnen hackers de authenticatieprocedures omzeilen. Hiermee krijgen ze toegang tot de hele routeromgeving en kunnen ze code injecteren en/of direct uitvoeren via het besturingssysteem van de router.
Nieuwe patch dekt lading niet
DrayTek laat aan het CCB weten dat er net een nieuwe patch beschikbaar is die een aantal security-problemen verhelpt. Het is echter niet duidelijk of het lek dat het CCB ontdekte mee in de patch zit verwerkt. Het voerde namelijk penetratietesten uit op de nieuwste firmware (versie 1.5.1.1) en daarin werden geïnstalleerde backdoors uit versie 1.4 niet verwijderd.
Wie een DrayTek-router gebruikt binnen het bedrijf, voert best onmiddellijk een firmware-update uit en controleert in de webinterface dubbel na om te zien dat versie 1.5.1.1 is geïnstalleerd. Controleer of er geen bijkomende profielen werden aangemaakt voor toegang op afstand of admin-gebruikers. ACL’s (Access Control Lists) kan je best ook dubbelchecken.
Waarop moet je letten?
Tot slot kan je beter tijdelijk toegang op afstand uitschakelen op de router indien je deze functie niet nodig hebben. SSL VPN schakel je best ook tijdelijk uit tot je de firmware hebt geüpdatet. Wie graag een logboek wil zien met alle aangepaste instellingen, schakelt best syslog-logging in om te controleren op abnormale gebeurtenissen.
Het CCB heeft DrayTek gecontacteerd en geïnformeerd, maar kreeg tot nu toe nog geen antwoord. Indien je slachtoffer bent van ransomware, moet je dan betalen of niet? Lees ook ons dossier waarin we de vele gezichten van ransomware identificeren.