VPN با استفاده از نسخه های قدیمی تر سیستم عامل است. به عبارت ساده تر ، مهاجمان می توانند از نقص برای استراق سمع ترافیک شبکه سوء استفاده کنند ، خدمات SSH را روی درگاههای بلند اجرا کنند ، و جلسات وب و حسابهای پشتیبان سیستم ایجاد کنند.
# 0-day from 2019-12-04 08:22:29 (UTC) ، ما شاهد حمله 0 روزه در حال انجام هدف قرار دادن یک فروشنده CPE شبکه هستیم (نه بازیکنان بزرگ ، اما طبق اطلاعات عمومی در دسترس حدود 100،000 پوند آنلاین هستند). مهاجم از پورت 21،25،143،110 (1/2)
– 360 Netlab (@ 360Netlab) 25 دسامبر 2019
محققان گزارش می دهند که آنها ابتدا در 4 دسامبر 2019 متوجه این حملات شدند. آنها آن را در اواخر سال در توییتر فاش کردند بدون اینکه به فروشنده قربانی اشاره کنند. در 10 فوریه 2020 ، DrayTek نسخه سیستم عامل 1.5.1 را منتشر کرد که سوراخ RCE را به آن وصل کرد. لیست محصولات آسیب دیده با نسخه های سیستم عامل آسیب پذیر در زیر آورده شده است.
- Vigor 2960 <v1.5.1
- Vigor 300B <v1.5.1
- Vigor 3900 <v1.5.1
- Vigor Switch 20P2121 <= v2 .3.2
- Vigor Switch 20G1280 <= v2.3.2
- Vigor Switch 20P1280 <= v2.3.2
- Vigor Switch 20G2280 <= v2.3.2
- Vigor Switch 20P2280 <= v2.3.2
360 گزارش NetLabs هکرها را "Attack Group A" و "Attack Group B" نامگذاری می کند ، بنابراین هیچ انتساب خاصی وجود ندارد. اولین بازیگر یک اسکریپت را برای استراق سمع کلیه رابط های شبکه در دستگاه DrayTek Vigor هدفمند ، با گوش دادن به درگاه های 21 ، 25 ، 110 و 143 اجرا کرد. بازیگر دوم یک قدم جلوتر رفت ، دو مجموعه از صندلی های پشتی Web Session را که دیگر منقضی نمی شوند ، پشت درهای SSH در TCP و یک حساب پشتی سیستم کاشت. Backdoor Web Session یک پارامتر "updateatetime" را روی "0" قرار می دهد ، و "Auto-Logout" را برای "غیرفعال کردن" قرار می دهد.
برای کاهش این خطر ، به شما توصیه می شود هرچه سریع تر به روزرسانی های سیستم عامل را اعمال کرده و سپس در پشتی سیستم های خود را بررسی کنید. همچنین ، وجود یک فرآیند tcpdump نشان می دهد که شما در حال بهره برداری هستید. اگر به روزرسانی سیستم عامل به هر دلیلی غیرممکن است ، می بایست دسترسی موقت از راه دور و SSL VPN را به طور موقت غیرفعال کنید و به جای آن از یک لیست کنترل دسترسی استفاده کنید.