En avril 2022, nous avons pris connaissance d’un exploit possible affectant certains de nos produits qui a été identifié lors des tests et qui nous a été signalé*. Nous ne sommes au courant d’aucun exploit de cela dans la nature et nous avons commencé à publier des mises à jour du firmware en mai 2022.
Notre meilleur recommandation est de toujours tenir le firmware à jour, mais vous recommandons de vérifier que les unités concernées exécutent au moins la version du firmware dans le tableau ci-dessous. Si le modèle n’est pas répertorié, alors il n’est pas affecté par cette vulnérabilité. Pour protéger les utilisateurs jusqu’à ce que toutes les versions du firmware soient disponibles et pour donner du temps pour les mises à niveau, aucune autre information sur le problème n’a été publiée à l’origine. La vulnérabilité a maintenant été annoncée sous CVE-2022-32548 et est liée à un exploit possible de la page de connexion de l’interface utilisateur Web du routeur.
Si vous n’avez pas encore effectué la mise à niveau, mettez à jour votre firmware immédiatement. Avant de faire la mise à niveau, effectuez une sauvegarde de votre configuration actuelle au cas où vous auriez besoin de la restaurer plus tard (maintenance du système -> Sauvegarde de configuration). Utilisez le . TOUS les fichiers à mettre à niveau, sinon vous effacerez les paramètres de votre routeur. Si vous effectuez une mise à niveau à partir d’un firmware beaucoup plus ancien, veuillez vérifier attentivement les notes de mise à jour pour toute instruction de mise à niveau.
Si l’accès à distance est activé sur votre routeur, désactivez-le si vous n’en avez pas besoin, et utilisez une liste de contrôle d’accès et 2FA si possible. Si votre appareil n’exécute pas déjà de firmware patché (voir tableau ci-dessous), désactivez l’accès à distance (admin) et le VPN SSL. L’ACL ne s’applique pas aux connexions VPN SSL (Port 443), vous devez donc également désactiver temporairement le VPN SSL jusqu’à ce que vous ayez mis à jour le firmware.
Les nouveaux firmwares DrayTek avec des mises à jour de sécurité pour cette vulnérabilité sont affichés comme suit.
| Modèle affecté | Version fixe du micrologiciel |
|---|---|
| Vigor3910 | 4.3.1.1 |
| Série Vigor2962 | 4.3.1.1 |
| Série Vigor2927 | 4,0 |
| Série Vigor2927 LTE | 4,0 |
| Série Vigor2915 | 4.3.3.2 |
| Série Vigor2866 | 4,0 |
| Série Vigor2866 LTE | 4,0 |
| Série Vigor2865 | 4,0 |
| Série Vigor2865 LTE | 4,0 |
| Série Vigor2862 | 3.9.8.1 |
| Série Vigor2862 LTE | 3.9.8.1 |
| Vigor2832 | 3.9.6.1 |
| Série Vigor2766 | 4.4.2 |
| Série Vigor2765 | 4.4.2 |
| Série Vigor2762 | 3.9.6.4 |
| Série Vigor2620 LTE | 3.9.8.1 |
| VigorLTE 200n | 3.9.8.1 |
| Série Vigor2135 | 4.4.2 |
| Vigor1000B | 4.3.1.1 |
| Vigor166 | 4.2.4 |
| Vigor165 | 4.2.4 |
| Série Vigor3220 | 3.9.7.2 |
| Vigor2952 / 2952P | 3.9.7.2 |
| Série Vigor2926 | 3.9.8.1 |
| Série Vigor2926 LTE | 3.9.8.1 |
| Vigor2912 | 3,8,15 |
| Série Vigor2133 | 3.9.6.4 |
