연구원들은 DrayTek Vigor 라우터 29개 모델에 치명적인 보안 결함이 있다고 밝혔으며, 현재 사용 중인 장치가 70만 대 이상에 달합니다. DrayTek Vigor 라우터는 팬데믹 동안 재택근무로의 전환에 따라 인기를 얻었으며, 주로 영국, 네덜란드, 베트남, 대만, 호주의 중소기업 직원들이 사용합니다.
이 취약점은 CVE-2022-32548로 추적되며 원격 코드 실행(RCE)을 가능하게 하여 전체 타격을 입은 네트워크를 위험에 빠뜨립니다. 이 결함은 CVSS 점수 10.0으로 평가되었습니다.
대만의 SOHO 제조업체는 사이버 범죄 해커들이 사용자 상호작용 없이도 이 취약점을 활용하는 데 성공했다고 확인했습니다. 유일한 전제 조건은 장치가 인터넷에 노출되어 있어야 한다는 것입니다.
CVE-2022-32548 탐지
점점 증가하는 취약점 및 그 심각성은 확대된 공격 표면을 만들어 매일 더 많은 사용자를 위험에 빠뜨리고 있습니다. SOC Prime의 탐지 엔지니어 팀은 SOC 전문가들이 최신 위협에 발맞추어 나갈 수 있도록 최신 위협에 대한 Sigma 지원 콘텐츠를 적시에 발표합니다. 최근 발표된 Sigma 규칙 중 하나는 잠재적인 CVE-2022-32548 악용 시도를 식별할 수 있도록 합니다:
잠재적인 DrayTek Vigor 라우터 RCE 악용 시도 [CVE-2022-32548] (프록시 사용)
이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 맞춰 초기 접근 전술을 다루며 Exploit Public-Facing Application (T1190)를 주요 기술로 하여 10개의 SIEM, EDR & XDR 플랫폼에서 사용 가능합니다.
SOC Prime 플랫폼에 처음이라면 – 코드로서의 탐지 콘텐츠를 제공하는 업계 선두주자 중 하나인 이곳에서의 탐색을 시작하세요. 방대한 Sigma 규칙 컬렉션에서 관련 위협 컨텍스트, CTI 및 MITRE ATT&CK 참조, CVE 설명과 함께 위협 사냥 트렌드 업데이트를 받으세요. 등록은 필요 없습니다! 더 많은 정보를 얻으려면 위협 컨텍스트 탐색 버튼을 누르세요. 아래의 탐지 & 사냥 버튼을 클릭하여 등록하고 세계 최초의 협력적 사이버 방어, 위협 사냥 및 발견을 위한 플랫폼에 무제한 접근을 열어보세요. 이 플랫폼은 26개 이상의 SIEM, EDR 및 XDR 플랫폼과 통합됩니다. the world’s first platform for collaborative cyber defense, threat hunting, and discovery that integrates with 26+ SIEM, EDR, and XDR platforms.
CVE-2022-32548 분석
The Trellix Threat Labs 연구 팀은 데이터 누출, DDoS나 암호화폐 채굴 봇으로 사용되는 기기 손상, 중간자 공격 활성화, 공격자가 LAN에 위치한 자원에 접근할 수 있는 경우, 측면 이동 및 장치 완전 장악 등의 영향을 받는 군집에 속하는 사용자들에게 경고하고 있습니다.
증거의 연쇄는 로그인 페이지에서 버퍼 오버플로 문제를 직면함으로써 취약점이 유발될 수 있다는 것을 시사합니다. 발견된 라우터 중 적어도 20만 대는 인터넷에 노출되어 있어 CVE-2022-32548을 악용하려는 공격자들에게 유명한 목표가 되었습니다. 나머지 50만 대는 LAN을 통해서만 악용될 수 있습니다.
벤더는 영향을 받은 모든 모델에 대해 패치 를 발표했습니다.
되기 힘든 치명적인 취약점의 물결 속에서, 사이버 보안 산업과 관련된 이벤트를 최신 상태로 유지하는 것이 중요합니다. 최신 보안 뉴스 및 탐지 콘텐츠 출시 업데이트를 받으려면 SOC Prime 블로그 를 팔로우하세요. 탐지 콘텐츠를 배포하여 협력적 사이버 방어를 장려할 수 있는 신뢰할 수 있는 플랫폼을 찾고 계십니까? 가입하세요 SOC Prime의 크라우드소싱 프로그램 을 통해 커뮤니티와 Sigma 및 YARA 규칙을 공유하고 위협 조사를 자동화하며 28,000명 이상의 보안 전문가로부터 피드백과 검증을 받아 보안 운영을 향상시키세요.
