Wir haben Kenntnis von einer kursierenden Warnung zu einer Sicherheitslücke (CVE-2023-33778) erhalten.
Die Originalmeldung besagt, dass festgestellt wurde, dass DrayTek Vigor Router mit Firmware-Versionen unter 3.9.6/4.2.4, Access Points mit Firmware-Versionen unter v1.4.0, Switches mit Firmware-Versionen unter 2.6.7 und MyVigor Software-Versionen unter 2.3.2 hart kodierte Verschlüsselungsschlüssel verwenden, die es Angreifern ermöglichen, jedes betroffene Gerät mit ihrem eigenen Konto zu verbinden.
Angreifer sind dann in der Lage, WCF- und DrayDDNS-Lizenzen zu erstellen und diese von der Website aus zu synchronisieren.
Die Schwachstelle wurde am 01.06.2023 an die Öffentlichkeit getragen, ist aber bereits vor Veröffentlichung durch mehrere Maßnahmen geschlossen worden.
Das MyVigor-Portal hat eine neue Softwareversion erhalten, welche nicht mehr mit hart kodierten Verschlüsselungen arbeitet. Alle Router, Switches und Access Points haben ebenfalls aktualisierte Firmwareversionen erhalten, welche nicht mehr mit hart kodierten Verschlüsselungen arbeiten. Diese Sicherheitslücke ist also bereits geschlossen.
Wir empfehlen unseren Kunden, dringend bei allen Geräten die Firmware auf die neueste Version zu aktualisieren.
Geräte mit nicht aktualisierter Firmware können nicht mehr mit dem MyVigor-Portal kommunizieren und Lizenzprodukte oder auch der DrayDDNS Service werden mit einer veralteten Firmware nicht mehr funktionieren.