DrayTek网关中的远程命令注入漏洞CVE-2024-12987

DrayTek是一家专门从事无线网络设备生产的公司，包括无线路由器、无线网桥、无线AP，DrayTek Vigor是基于arm架构的路由器产品。

Vigor路由器可以实现自动侦测在其区网中的Vigor交换器，并提供中央管理介面让网管人员可透过路由器执行交换器的监控、设定及维护。

Vigor 路由器的管理界面不仅列出所有在区网中的交换器，并自动侦测交换器的阶层架构（最多两层），显示交换器每个埠口连接的设备。

一、基本情况

DrayTek Vigor2960是一款企业级VPN管理中心，用于提供安全保障和节省成本。它通过灵活、可靠及高性能LAN to LAN和远程接入方案。

DrayTek Vigor300是DrayTek公司生产的Vigor系列的路由器，支持ADSL2网络，符合IEEE 802.11n标准，最高理论传输速率为300Mbps。

栋科技漏洞库关注到流行的DrayTek网关设备的Web管理界面中存在的一个严重漏洞，漏洞被追踪为CVE-2024-12987，CVSS评分为7.3。

二、漏洞分析

CVE-2024-12987漏洞是在DrayTek Vigor2960和vigor 300 b 1.5.1.4中发现的严重漏洞，源于受影响设备Web管理界面中的输入验证不当。

具体而言，受影响的是软件组件Web管理界面的/CGI-bin/main function.CGI/apmcfgupload文件的未知函数，端点未能充分清理会话参数。

成功利用漏洞可能导致未授权命令执行，允许攻击者注入恶意命令，从而可操控配置、提取敏感信息，甚至对内部网络发起进一步攻击。

安全研究员Netsecfish发现并负责任的披露了该漏洞，还提供了一个PoC展示了如何利用简单的Python脚本来攻击CVE-2024-12987漏洞。

该脚本通过原始套接字连接向目标设备发送以十六进制格式构造的恶意请求，代码示例中包含了注入pwd命令以列出设备的当前工作目录。

该漏洞可能使超过66000台互联网连接设备面临攻击风险，鉴于这些设备在商业和家庭中的广泛使用，若不及时修补，可能构成重大风险。

受影响设备包括DrayTek Vigor2960和DrayTek Vigor300B，运行软件版本1.5.1.4的设备均存在此漏洞，升级到1.5.1.5版本可解决此问题。

安全人员建议DrayTek管理员应立即采取措施，包括确保所有CGI脚本参数经过严格验证和清理、限制管理界面的访问以及及时更新固件。

三、POC代码和漏洞利用

1、由于对“apmcfgupload”端点下的“session”参数输入清理不正确，通过注入有效负载，可以导致在目标设备上执行命令，代码如下：

2、通过Python脚本构造格式错误的HTTP请求，并通过原始套接字连接将其发送到目标设备

请求以十六进制格式制作，并在传输前转换为二进制，cgi_apmcfgupload_attack.py代码如下：

3、攻击效果

（1） 注入的命令为“pwd”，输出结果如下图：

（3）注入的命令为“cat ${IFS}/etc/persistence/config/device _ in * ”,其中“$ { IFS }”用作空格以绕过过滤器并执行命令，输出结果如下图：

四、影响范围

DrayTek Vigor2960 <= 1.5.1.4

DrayTek Vigor300B <= 1.5.1.4

五、修复建议

DrayTek Vigor2960 >= 1.5.1.4

DrayTek Vigor300B >= 1.5.1.4

六、参考链接