CVE-2024-12987

DrayTek Vigor Routers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-15

Официальное описание

DrayTek Vigor2960, Vigor300B, and Vigor3900 routers contain an OS command injection vulnerability due to an unknown function of the file /cgi-bin/mainfunction.cgi/apmcfgupload of the component web management interface.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-12987 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в веб-интерфейсе управления маршрутизаторов DrayTek серий Vigor2960, Vigor300B и Vigor3900.

Проблема локализована в компоненте /cgi-bin/mainfunction.cgi/apmcfgupload. Из-за недостаточной фильтрации входных данных при обработке HTTP-запросов к этому эндпоинту, злоумышленник может внедрить произвольные системные команды. Поскольку веб-сервер на данных устройствах часто работает с высокими привилегиями, успешная эксплуатация позволяет удаленно выполнить код (RCE) в контексте операционной системы маршрутизатора, что ведет к полному захвату контроля над сетевым устройством.

Как исправить

Данные модели маршрутизаторов (Vigor2960, Vigor300B, Vigor3900) достигли стадии End of Life (EoL). Это означает, что производитель официально не выпускает регулярные обновления безопасности. Однако, в связи с критичностью уязвимости, необходимо выполнить следующие действия:

  1. Проверка версии прошивки: Убедитесь, что установлена последняя доступная версия прошивки с официального сайта DrayTek. Для данных моделей критические патчи (если они выпущены внепланово) должны быть установлены немедленно.

  2. Миграция на актуальное оборудование: Основным способом исправления является замена устаревших моделей на актуальные (например, серии Vigor2962 или Vigor3910), которые получают регулярные обновления безопасности и имеют более современную архитектуру защиты.

  3. Обновление через CLI (если доступен патч): Если у вас есть файл прошивки, загрузите его через TFTP или веб-интерфейс. Пример команды для проверки доступности устройства перед обновлением:

ping 192.168.1.1

Временные меры

Если немедленная замена оборудования невозможна, необходимо максимально ограничить поверхность атаки:

  1. Отключение удаленного управления (Remote Management): Запретите доступ к веб-интерфейсу управления (HTTP/HTTPS) со стороны WAN-интерфейса. Доступ должен быть разрешен только из доверенной локальной сети (LAN) или через защищенный VPN-туннель.

  2. Использование Access Control List (ACL): Настройте белый список IP-адресов, которым разрешено подключаться к административной панели устройства.

  3. Изменение портов по умолчанию: Смените стандартные порты управления (80, 443) на нестандартные, чтобы снизить риск обнаружения автоматизированными сканерами.

  4. Отключение неиспользуемых служб: Если функция AP Management (которой принадлежит уязвимый файл) не используется, отключите её в настройках.

  5. Мониторинг трафика: Настройте правила на внешнем Firewall или IDS/IPS для блокировки запросов, содержащих подозрительные строки в URL:

/cgi-bin/mainfunction.cgi/apmcfgupload
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей