ISGroup Consultoría de Ciberseguridad

Vulnerabilidad de Inyección de Comandos en dispositivos DrayTek Vigor Gateway (CVE-2024-12987)

Un investigador de seguridad de Netsecfish ha descubierto una vulnerabilidad crítica de inyección de comandos (CVE-2024-12987) que afecta a la interfaz de gestión web de los dispositivos gateway DrayTek. Esta vulnerabilidad involucra a más de 66.000 dispositivos conectados a Internet y permite a atacantes remotos ejecutar comandos arbitrarios. El fallo reside en el endpoint /cgi-bin/mainfunction.cgi/apmcfgupload, donde una sanitización inadecuada del parámetro session permite ataques de inyección de comandos.

ProductoDrayTek Vigor
Fecha2025-01-10 15:58:02
Información
  • Tendencia
  • Corrección disponible

Resumen técnico

Existe una vulnerabilidad de inyección de comandos en los dispositivos DrayTek Vigor2960 y Vigor300B que ejecutan la versión de software 1.5.1.4. La vulnerabilidad ocurre debido a una sanitización inadecuada de la entrada del parámetro ‘session’ en la interfaz de gestión web, dentro del endpoint /cgi-bin/mainfunction.cgi/apmcfgupload.

La vulnerabilidad puede ser explotada enviando una solicitud HTTP especialmente diseñada con un parámetro session formateado de manera maliciosa. El payload inyectado sigue el formato: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx0\xb4%52$c%52$c<INJECTED_COMMAND>. Para que el exploit tenga éxito, es necesario utilizar el protocolo HTTP/1.0.

Productos afectados:

  • DrayTek Vigor2960 (Versión 1.5.1.4)
  • DrayTek Vigor300B (Versión 1.5.1.4)

Impacto:

La explotación exitosa podría permitir a los atacantes:

  • Ejecutar comandos de sistema arbitrarios de forma remota
  • Manipular las configuraciones del dispositivo
  • Extraer información sensible
  • Comprometer potencialmente redes internas

Detalles técnicos:

  • Punto de entrada: /cgi-bin/mainfunction.cgi/apmcfgupload
  • Parámetro vulnerable: session
  • Protocolo requerido: HTTP/1.0
  • Formato del payload: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx0\xb4%52$c%52$c<INJECTED_COMMAND>

Recomendaciones

Los administradores deben:

  1. Aplicar la validación de entrada a todos los parámetros de los scripts CGI
  2. Limitar el acceso a la interfaz de gestión web
  3. Monitorear y aplicar las actualizaciones de firmware cuando estén disponibles
  4. Implementar una lista blanca (whitelist) de IP para el acceso a la gestión

[Callforaction-THREAT-Footer]

In