Détection CVE-2022-32548 : Vulnérabilité critique d’exécution de code à distance affectant les modèles phares de DrayTek

[post-views]
août 05, 2022 · 4 min de lecture
Détection CVE-2022-32548 : Vulnérabilité critique d’exécution de code à distance affectant les modèles phares de DrayTek

Les chercheurs ont révélé une faille de sécurité critique dans 29 modèles de routeurs DrayTek Vigor, totalisant plus de 700 000 appareils actuellement en service. Les routeurs DrayTek Vigor ont gagné en popularité lors du passage mondial aux bureaux à domicile pendant la pandémie et sont principalement utilisés par les employés de petites et moyennes entreprises au Royaume-Uni, aux Pays-Bas, au Vietnam, à Taïwan et en Australie.

La vulnérabilité est suivie comme CVE-2022-32548 et permet l’exécution de code à distance (RCE), mettant en danger l’ensemble du réseau compromis. La faille est notée avec un score CVSS de 10,0.

Le fabricant taïwanais SOHO a confirmé que les hackers criminels ont réussi l’exploit sans interaction de l’utilisateur ; le seul prérequis est que l’appareil soit exposé à Internet.

Détecter CVE-2022-32548

Le nombre croissant et la gravité des exploits créent une surface d’attaque élargie, mettant en danger de plus en plus d’utilisateurs chaque jour. L’équipe d’ingénieurs de détection de SOC Prime publie en temps opportun du contenu activé par Sigma pour les dernières menaces afin d’aider les professionnels SOC à rester à jour sur les nouvelles menaces. L’une des règles Sigma récemment publiées permet d’identifier les tentatives potentielles d’exploitation de CVE-2022-32548 :

Tentative d’exploitation RCE possible sur les routeurs DrayTek Vigor [CVE-2022-32548] (via proxy)

La règle est alignée avec le cadre MITRE ATT&CK® version 10, adressant la tactique d’Accès Initial avec l’exploitation d’application exposée au public (T1190) comme technique principale, disponible pour 10 plateformes SIEM, EDR & XDR.

Si vous êtes nouveau sur la plate-forme SOC Prime – un fournisseur de premier plan de contenu Detection-as-Code, parcourez une vaste collection de règles Sigma avec un contexte de menace pertinent, des références CTI et MITRE ATT&CK, des descriptions CVE, et obtenez des mises à jour sur les tendances de la recherche de menaces. Aucune inscription requise ! Appuyez sur le bouton Explorer le contexte des menaces pour en savoir plus. Inscrivez-vous en cliquant sur le bouton Detect & Hunt ci-dessous et déverrouillez un accès illimité à la première plateforme mondiale pour la cyberdéfense collaborative, la recherche de menaces et la découverte, qui s’intègre à plus de 26 plateformes SIEM, EDR et XDR.

Detect & Hunt Explorer le contexte des menaces

Analyse du CVE-2022-32548

The L’équipe de recherche de Trellix Threat Labs alerte les utilisateurs qui se trouvent dans le cluster affecté par les impacts de l’exploitation tels que la fuite de données sensibles, les appareils compromis utilisés comme bots DDoS ou mineurs de crypto, activation des attaques de l’homme du milieu, adversaires accédant aux ressources situées sur le LAN, mouvement latéral et prise de contrôle complète des appareils. research team alarms users that fall into the affected cluster of the exploitation impacts like the leak of sensitive data, compromised devices used as DDoS or crypto miner bots, enabled man-in-the-middle attacks, adversaries accessing the resources located on the LAN, lateral movement, and complete device takeover.

La chaîne de preuves suggère que la vulnérabilité peut être déclenchée par un problème de dépassement de tampon sur la page de connexion. Au moins 200 000 des routeurs découverts ont été déterminés comme étant exposés à Internet, devenant ainsi une cible facile pour les adversaires cherchant à exploiter CVE-2022-32548. Les 500 000 restants ne peuvent être exploités que via le LAN.

Le vendeur a publié des correctifs pour tous les modèles affectés.

Dans l’avalanche de vulnérabilités critiques, il est vital de rester informé sur les événements concernant l’industrie de la cybersécurité. Suivez le blog de SOC Prime pour les dernières nouvelles en matière de sécurité et les mises à jour concernant les publications de contenu de détection. Vous cherchez une plateforme de confiance pour distribuer votre contenu de détection tout en promouvant la cyberdéfense collaborative ? Rejoignez le programme de crowdsourcing de SOC Prime pour partager vos règles Sigma et YARA avec la communauté, automatiser l’enquête sur les menaces, et obtenir des retours et une validation de la part de plus de 28 000 professionnels de la sécurité pour améliorer vos opérations de sécurité.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification 4 min de lecture Dernières Menaces CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification by Veronika Telychko
Toutes les actualités