Het Centrum voor Cybersecurity België (CCB) waarschuwt voor een ransomware-kwetsbaarheid. Het gaat om een kwetsbaarheid in routers van de Taiwanese fabrikant DrayTek. ‘De uitvoering van de beveiligingsupdate is geen garantie.’
Het Centrum voor Cybersecurity België ontving, naar eigen zeggen uit betrouwbare bron, informatie die wijst op een niet-geïdentificeerde kwetsbaarheid in DrayTek-routers. Hierdoor zouden ransomware-aanvallers toegang krijgen tot duizenden bedrijfsnetwerken wereldwijd.
DrayTek Corporation is een Taiwanese fabrikant van netwerkapparatuur als vpn-routers, firewalls en managed switches. DrayTek richt zich voornamelijk op kmo’s.
Code injecteren
Het zou gaan om de zogenaamde DrayTek Vigor2960-routers, die zeker zijn getroffen door de niet-geïdentificeerde kwetsbaarheid. Maar het is niet uitgesloten dat de kwetsbaarheid ook nog andere DrayTek-toestellen treft.
De kwetsbaarheid stelt de aanvaller in staat om de authenticatieprocedures te omzeilen en op afstand code te injecteren of uit te voeren op het besturingssysteem van de DrayTek Vigor2960-routers.
DrayTek ontwikkelde inmiddels patches voor sommige recentelijk bekendgemaakte beveiligingsproblemen, maar het is niet duidelijk of de eerder genoemde misbruikte kwetsbaarheid is gepatcht. Het CCB beveelt gebruikers evenwel sterk aan de laatste beveiligingsupdates uit te voeren op DrayTek-routers.
Patch geen garantie
Toch lijkt het niet zo eenvoudig. Zo heeft het CCB penetratietesten uitgevoerd, waaruit blijkt dat eerder geïnstalleerde backdoors op Vigor2960-routers (die versie 1.4 van de firmware gebruiken) niet werden verwijderd na het patchen naar versie 1.5.1.1.
Dit suggereert dat een gecompromitteerde router ook na een upgrade naar versie 1.5.1.1 gecompromitteerd blijft.
Pedro Deryckere, hoofd van het CCB/CyTRIS bij het CCB Centre for Cybersecurity Belgium, roept bedrijven op om getroffen toestellen te updaten en te controleren op backdoors. ‘De uitvoering van de beveiligingsupdate van DrayTek is in dit geval geen garantie dat je niet kwetsbaar meer bent voor de potentiële ransomware-aanval’, benadrukt hij evenwel. ‘Als hackers vooraf aan de update backdoors konden installeren, dan ben je ook na de patch nog kwetsbaar.’
