CVE-2021-20124

DrayTek VigorConnect

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-03

Официальное описание

Draytek VigorConnect contains a path traversal vulnerability in the file download functionality of the WebServlet endpoint. An unauthenticated attacker could leverage this vulnerability to download arbitrary files from the underlying operating system with root privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-20124 представляет собой критическую уязвимость типа Path Traversal (обход пути) в сервлете WebServlet системы управления сетью DrayTek VigorConnect (версии до 1.6.0).

Проблема заключается в недостаточной фильтрации входных данных в параметрах запроса, отвечающих за скачивание файлов. Неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос, содержащий последовательности обхода директорий (например, ../../), что позволяет прочитать и загрузить произвольные файлы из файловой системы сервера. Поскольку сервис VigorConnect часто запускается с высокими привилегиями, атакующий может получить доступ к чувствительным данным, таким как /etc/shadow, конфигурационные файлы с паролями БД или ключи SSH, обладая правами пользователя root.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения до актуальной версии, где реализована корректная валидация путей.

  1. Перейдите на официальный сайт поддержки DrayTek или в раздел загрузок.
  2. Скачайте версию VigorConnect 1.6.0 или выше.
  3. Выполните резервное копирование текущей конфигурации системы.
  4. Установите обновление, следуя стандартной процедуре инсталляции для вашей ОС (Windows или Linux).
  5. После обновления убедитесь, что версия в панели управления отображается как 1.6.0 или новее.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничьте доступ к веб-интерфейсу VigorConnect на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов.
  2. Настройте Reverse Proxy (например, Nginx) перед VigorConnect и добавьте правила фильтрации URL, блокирующие подозрительные последовательности:
location / {
    if ($request_uri ~* "\.\./") {
        return 403;
    }
    proxy_pass http://127.0.0.1:8080;
}
  1. В среде Linux убедитесь, что сервис VigorConnect запущен от имени непривилегированного пользователя, а не от root (примените принцип наименьших привилегий).
  2. Настройте систему обнаружения вторжений (IDS/IPS) для блокировки сигнатур Path Traversal в HTTP-трафике.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей