安全研究人员 Netsecfish 在流行的 DrayTek 网关设备的 Web 管理界面中发现了一个命令注入漏洞(跟踪为 CVE-2024-12987)。该漏洞可使攻击者远程执行任意命令,使 66,000 多台联网设备处于危险之中。
该漏洞源于受影响设备的 Web 管理界面中不当的输入消毒。具体来说,/cgi-bin/mainfunction.cgi/apmcfgupload 端点未能对会话参数进行适当的消毒,从而使攻击者能够注入恶意命令。
受影响的设备包括:
- DrayTek Vigor2960
- 德雷科技 Vigor300B
这两款运行 1.5.1.4 版软件的设备都存在漏洞。
Netsecfish 提供了一个 PoC,演示了一个简单的 Python 脚本如何利用 CVE-2024-12987 漏洞。脚本使用原始套接字连接向目标设备发送以十六进制格式制作的恶意请求。其中一个示例包括注入 pwd 命令以列出设备上的当前工作目录。
源代码 来源:Netsecfish
成功利用该漏洞可导致未经授权的命令执行,使攻击者能够:
- 操纵配置。
- 提取敏感信息。
- 对内部网络发起更多攻击。
鉴于这些设备在企业和家庭中的广泛使用,如果不及时修补,该漏洞将带来巨大风险。
DrayTek 管理员应立即采取以下措施保护其设备:
- 应用输入验证: 确保所有 CGI 脚本参数都经过严格验证和消毒。
- 限制网络界面访问: 通过将受信任的 IP 地址列入白名单,限制对管理界面的访问。
- 更新固件: 监控并应用 DrayTek 提供的固件更新。
发表评论
您还未登录,请先登录。
登录