ForeScout 於 10 月 2 日星期三披露，英國一些最大的通訊服務提供商 (CSP) 可能面臨 Draytek Vigor 路由器設備中一系列 14 個漏洞的重大風險，其中包括 Daisy Communications、Gamma Telecom 和 Zen Internet 等 B2B 巨頭，甚至BT。

DrayTek 在協調披露之前提供了所有漏洞的修補程式。然而，據ForeScout 稱，截至披露時，已有超過704,000 個路由器在網上暴露，而且鑑於FBI 幾週前摧毀了一個由中國間諜使用的一些DrayTek 資產組成的殭屍網絡，下游受到損害的風險可能相當大。

Forescout 的研究人員 Stanislav Dashevskyi 和 Francesco La Spina 表示，大約 75% 的易受攻擊的設備用於商業環境。他們寫道：「這對業務連續性和聲譽的影響是嚴重的。一次成功的攻擊可能會導致嚴重的停機、失去客戶信任和監管處罰，所有這些都完全落在 CISO 的肩上。

這些錯誤的嚴重程度和影響各不相同。其中包括一種能夠實現整個系統攻擊、兩種能夠實現反射型跨站腳本(XSS) 攻擊、兩種能夠實現存儲型XSS 攻擊、六種能夠實現拒絕服務(DoS) 和遠端代碼執行(RCE)、一種僅能夠實現DoS ，一種允許作業系統（OS）命令執行和虛擬機器逃逸，最後一種允許資訊外洩和中間人攻擊。

最關鍵的漏洞可能是 CVE-2024-41592，CVSS 得分最高為 10，它會導致 DoS 和 RCE，其中路由器的 Web 使用者介面 (UI) 中用於檢索 HTTP 請求資料的功能容易受到處理查詢字串參數時緩衝區溢出。

當與CVE-2024-41585（作業系統命令執行錯誤和該群組中第二嚴重的缺陷）連結時，威脅參與者有可能獲得主機作業系統上的遠端根存取權限並執行網路偵察和橫向移動，從而使啟動殭屍網路活動，甚至導致惡意軟體或勒索軟體的部署。

現在，Censys 進行的進一步分析顯示，暴露的 DrayTek Vigor 設備主要位於英國，其次是越南、荷蘭和台灣。在 704,000 人中，有 421,476 人在線上公開 VigorConnect 管理 UI。

「這些管理介面最集中的網路是大型國家 ISP 和區域電信供應商的混合體。排名第一的是台灣的 HINET，考慮到 DrayTek 是一家台灣公司，這是有道理的。

具體來說，在英國，Censys 在Gamma Telecom 發現了35,866 個易受攻擊的主機，在BT 發現了31,959 個易受攻擊的主機，在Daisy Communications 發現了21,275 個主機，在Zen Internet 發現了13,147 個主機。

在歐洲其他地方，荷蘭的 KPN（有 9,921 台易受攻擊的主機）和德國的德國電信（有 7,732 台主機）可能有重大風險。

建議易受攻擊的 Vigor 路由器的運營商立即修補其固件，但也要注意限制管理 Web UI 的公共遠端訪問，並強制執行多重身份驗證 (MFA) 以更好地保護它們。

英國電信發言人表示：「我們已經意識到這個漏洞。我們正在與外部供應商合作以採取補救措施。

《電腦週刊》聯繫了 Censys 點名的其他受影響組織，但截至發稿時沒有任何組織做出回應。