Zondag 23 maart ontvingen wij van diverse klanten, die gebruik maken van een Draytek CPE, meldingen van instabiele verbindingen of verbindingen die offline waren. Uit onderzoek bleek dat deze routers momenteel actief worden aangevallen via een ‘routerkwetsbaarheid’. Op verbindingen waarbij wij een groot aantal problemen/ aanmeldpogingen hebben geconstateerd hebben wij proactief het inkomende verkeer naar poort 443 geblokkeerd via een nieuwe Access list optie. Hiermee is het probleem tijdelijk verholpen.

De kwetsbaarheid via welke de routers momenteel worden aangevallen is gepubliceerd onder CVE-2024-51138 en CVE-2024-51139.

De door de aanval getroffen verbindingen maken gebruik van verschillende Draytek modellen die kwetsbaar zijn. Voor een aantal van deze modellen is inmiddels een firmware update beschikbaar gekomen. Helaas geld dit nog niet voor alle modellen. Bij routers zoals de Vigor 2760 kan het probleem voorlopig worden gemitigeerd door het uitschakelen van de SSL VPN.

Op de getroffen verbindingen hebben wij proactief het inkomende verkeer naar poort 443 geblokkeerd via een nieuwe Access List optie binnen InControl die is toegevoegd binnen de EVC-sectie van de verbinding. Hiermee hebben wij het probleem tijdelijk weten te verhelpen. Onze klanten hebben wij aangeraden het probleem definitief op te lossen via een upgrade van de firmware of het uitschakelen van SSL VPN functionaliteit. Zij kunnen hierna het filter weer uitzetten.