As falhas zero-day a serem exploradas são falhas que podem levar a situações de execução de código - CVE-2020-8515, e que afetam dispositivos da DrayTek Vigor como switches, load-balancers, routers e dispositivos de gateways de VPN's. com o objetivo de vigiar tráfego de rede e instalar backdoors.

Onde estão localizadas as falhas?

O vetor de entrada destas falhas encontra-se mais precisamente no KeyPath e rtick, localizadas no ficheiro /www/cgi-bin/mainfunction.cgi, sendo o respetivo programa de servidor web o lightpd, no diretório /usr/sbin/lighttpd.

Não há um "grupo" específico ao qual se possa especificamente atribuir este tipo de ataques, mas o que se suspeita é que o primeiro grupo vigiava o tráfego de rede e o segundo usava a falha de injeção de comandos no ritck para criar um backdoor na sessão web que nunca expira nas portas TCP 22335 e 32459, utilizador "wuwuhanhan" e password "caonimuqin.".

Lista de versões de fimrware afetadas: Vigor2960 < v1.5.1 Vigor300B < v1.5.1 Vigor3900 < v1.5.1 VigorSwitch20P2121 <= v2.3.2 VigorSwitch20G1280 <= v2.3.2 VigorSwitch20P1280 <= v2.3.2 VigorSwitch20G2280 <= v2.3.2 VigorSwitch20P2280 <= v2.3.2

De forma a combater as falhas supracitadas, aconselha-se a atualização do firmware dos disposiivos.

Mais informações: https://thetechinfinite.com/2020/03/28/hacker-group-exploiting-zero-day-in-draytek-broadband/