ISGroup Conseil en Cybersécurité

Vulnérabilité d’injection de commande dans les passerelles DrayTek Vigor (CVE-2024-12987)

Un chercheur en sécurité de Netsecfish a découvert une vulnérabilité critique d’injection de commandes (CVE-2024-12987) affectant l’interface de gestion web des passerelles DrayTek. Cette vulnérabilité concerne plus de 66 000 appareils connectés à Internet et permet à des attaquants distants d’exécuter des commandes arbitraires. La faille réside dans le point de terminaison /cgi-bin/mainfunction.cgi/apmcfgupload, où une désinfection inappropriée du paramètre session permet des attaques par injection de commandes.

ProduitDrayTek Vigor
Date10-01-2025 15:58:02
Informations
  • Tendance
  • Correctif disponible

Résumé technique

Une vulnérabilité d’injection de commandes est présente dans les appareils DrayTek Vigor2960 et Vigor300B exécutant la version logicielle 1.5.1.4. La vulnérabilité survient en raison d’une désinfection inappropriée de l’entrée du paramètre ‘session’ dans l’interface de gestion web, au sein du point de terminaison /cgi-bin/mainfunction.cgi/apmcfgupload.

La vulnérabilité peut être exploitée en envoyant une requête HTTP spécialement conçue avec un paramètre session formaté de manière malveillante. La charge utile injectée suit le format : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx0\xb4%52$c%52$c<INJECTED_COMMAND>. Pour que l’exploitation réussisse, il est nécessaire d’utiliser le protocole HTTP/1.0.

Produits concernés :

  • DrayTek Vigor2960 (Version 1.5.1.4)
  • DrayTek Vigor300B (Version 1.5.1.4)

Impact :

Une exploitation réussie pourrait permettre aux attaquants de :

  • Exécuter des commandes système arbitraires à distance
  • Manipuler les configurations de l’appareil
  • Extraire des informations sensibles
  • Compromettre potentiellement les réseaux internes

Détails techniques :

  • Point d’entrée : /cgi-bin/mainfunction.cgi/apmcfgupload
  • Paramètre vulnérable : session
  • Protocole requis : HTTP/1.0
  • Format de la charge utile : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx0\xb4%52$c%52$c<INJECTED_COMMAND>

Recommandations

Les administrateurs doivent :

  1. Appliquer la validation des entrées sur tous les paramètres des scripts CGI
  2. Restreindre l’accès à l’interface de gestion web
  3. Surveiller et appliquer les mises à jour du firmware lorsqu’elles sont disponibles
  4. Mettre en œuvre une liste blanche IP pour l’accès à la gestion

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *