CVE-2020-8515

DrayTek Multiple Vigor Routers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

DrayTek Vigor3900, Vigor2960, and Vigor300B routers contain an unspecified vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в веб-интерфейсе управления маршрутизаторами DrayTek позволяет удаленному атакующему выполнить произвольный код на устройстве без аутентификации. Это достигается путем отправки специально сформированного HTTP-запроса на определенный порт (обычно 80/TCP или 443/TCP).

Как исправить

Установите последнюю прошивку от производителя, устраняющую данную уязвимость. Необходимая версия зависит от конкретной модели:

  1. Определите текущую версию прошивки: Войдите в веб-интерфейс маршрутизатора и перейдите в раздел System Maintenance -> Firmware Information.

  2. Скачайте и установите патч:

    • Vigor3900: Обновитесь до версии прошивки 1.5.1.1 или новее.
    • Vigor2960: Обновитесь до версии прошивки 1.5.1.1 или новее.
    • Vigor300B: Обновитесь до версии прошивки 1.5.1.1 или новее.

    Файлы прошивок доступны на официальном сайте DrayTek в разделе поддержки для вашей модели. 3. Процесс обновления (через веб-интерфейс): * Сделайте резервную копию конфигурации (System Maintenance -> Configuration -> Backup). * Перейдите в System Maintenance -> Firmware Upgrade. * Загрузите скачанный файл прошивки (.bin или .all). * Нажмите "Обновить" и дождитесь перезагрузки устройства.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия для снижения риска:

  1. Ограничьте доступ к интерфейсу управления:

    • В настройках маршрутизатора (System Maintenance -> Access Control или Management) настройте правила Allow Trusted Hosts Only.
    • Разрешите подключение к веб-интерфейсу (порты 80, 443) только с доверенных IP-адресов вашей внутренней сети или VPN.
    • Запретите доступ к портам управления (80, 443, 8080, 8443) из интернета (WAN) в разделе NAT -> Port Redirection или Firewall.

  2. Измените стандартные порты управления (если функция поддерживается):

    • В настройках веб-сервера маршрутизатора (System Maintenance -> Management) измените стандартные порты HTTP (80) и HTTPS (443) на нестандартные (например, 8080, 8443).

  3. Включите межсетевой экран (Firewall):

    • Активируйте и настройте встроенный межсетевой экран. Создайте правило, блокирующее все входящие подключения из WAN к любым портам маршрутизатора, кроме необходимых для работы (например, VPN).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей