【安全资讯】66000台DrayTek网关存在远程命令注入漏洞（CVE-2024-12987），PoC已发布

概要：

近日，安全研究员Netsecfish发现了一个影响广泛的命令注入漏洞（CVE-2024-12987），该漏洞存在于流行的DrayTek网关设备的Web管理界面中。此漏洞可能使超过66000台互联网连接设备面临被攻击的风险，凸显了网络安全的重要性。

主要内容：

该漏洞源于受影响设备Web管理界面中的输入验证不当，具体体现在/cgi-bin/mainfunction.cgi/apmcfgupload端点未能充分清理会话参数，允许攻击者注入恶意命令。受影响的设备包括DrayTek Vigor2960和DrayTek Vigor300B，运行软件版本1.5.1.4的设备均存在此漏洞。

Netsecfish还提供了一个PoC，展示了如何利用简单的Python脚本来攻击CVE-2024-12987漏洞。该脚本通过原始套接字连接向目标设备发送以十六进制格式构造的恶意请求，示例中包括注入pwd命令以列出设备的当前工作目录。

成功利用该漏洞可能导致未授权的命令执行，攻击者能够操控配置、提取敏感信息，甚至对内部网络发起进一步攻击。鉴于这些设备在商业和家庭中的广泛使用，若不及时修补，该漏洞将构成重大风险。DrayTek管理员应立即采取措施，包括确保所有CGI脚本参数经过严格验证和清理、限制管理界面的访问以及及时更新固件。