30/03/20
Исследователи подразделения Netlab китайской ИБ-компании Qihoo 360 сообщили о двух недавно обнаруженных вредоносных кампанях, в ходе которых киберпреступники эксплуатировали уязвимости нулевого дня в сетевых устройствах тайваньской компании DrayTek.По словам экспертов, по крайней мере две отдельные киберпреступные группировки использовали две критические уязвимости удаленного внедрения команд ( CVE-2020-8515 ), затрагивающие корпоративные коммутаторы, балансировщики нагрузки, маршрутизаторы и VPN-шлюзы DrayTek Vigor для перехвата сетевого трафика и установки бэкдоров.
Как предполагают специалисты, атаки начались в конце ноября или в начале декабря прошлого года и, возможно, все еще продолжаются против тысяч уязвимых устройств Vigor 2960, 3900, 300B, которые еще не получили последнюю версию прошивки.
Исследователи NetLab не связали атаки с какой-либо конкретной группировкой, но подтвердили, что первая группа просто шпионила за сетевым трафиком, а вторая использовала уязвимость внедрения команд в rtick для создания бэкдоров и системной учетной записи с логином «wuwuhanhan» и паролем «caonimuqin».
Как отметили эксперты, установка исправленной версии прошивки не удалит учетные записи бэкдора автоматически, если система уже была скомпрометирована.
Проблемы затрагивают версии Vigor2960 ниже 1.5.1, Vigor300B ниже 1.5.1, Vigor3900 ниже 1.5.1, VigorSwitch20P2121 2.3.2 и ниже, VigorSwitch20G1280 2.3.2 и ниже, VigorSwitch20P1280 v2.3.2 и ниже, VigorSwitch20G2280 v2.3.2 и ниже и VigorSwitch20P2280 v2.3.2 и ниже. Производитель исправил уязвимость в версии прошивки 1.5.1.
