BDU:2024-11413

Критический

BDU:2024-11413: Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов Draytek Vigor Routers, точек доступа Draytek Vigor Access Points, коммутаторов Draytek Vigor Switches и облачной платформы Draytek Vigor Myvigor, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю оказывать воздействие на конфиденциальность, целостность и доступность защищаемой информации

CVSS v39.8

CVSS v210.0

Пересчитать в калькуляторе Открыть на bdu.fstec.ru К реестру

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов Draytek Vigor Routers, точек доступа Draytek Vigor Access Points, коммутаторов Draytek Vigor Switches и облачной платформы Draytek Vigor Myvigor связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Что делать с BDU:2024-11413

Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1

9.8Критический

Пересчитать →

10.0

Только просмотр

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CWE-798

CVE — международный идентификатор

CVE-2023-33778

CWE-798

Захардкоженные учётные данные

Пароли, ключи API или токены хранятся в исходном коде. Приводит к компрометации при утечке кода.

Как атакуют и что делать ▾

Сценарий атаки

Пароль БД или API-ключ захардкожен в коде. При утечке репозитория (GitHub, дамп) атакующий получает доступ.

Последствия

Полный доступ к внешним сервисам, БД, облачным ресурсам.

Рекомендации

Храните секреты в переменных окружения или vault (HashiCorp Vault, AWS SSM). Сканируйте код на secrets.

Тактики и техники

Нарушение аутентификации

Уязвимое ПО (120)

Вендор	Название	Версия	Платформа
DrayTek	Vigor Switch Pq2200xb	до 2.6.7	Не указана
DrayTek	Myvigor	до 2.3.2	Не указана
DrayTek	Vigor Switch Pq2121x	до 2.6.7	Не указана
DrayTek	Vigor Switch P2540xs	до 2.6.7	Не указана
DrayTek	Vigor Switch P2280x	до 2.6.7	Не указана
DrayTek	Vigor Switch P2100	до 2.6.7	Не указана
DrayTek	Vigor Switch Q2200x	до 2.6.7	Не указана
DrayTek	Vigor Switch Q2121x	до 2.6.7	Не указана
DrayTek	Vigor Switch G2540xs	до 2.6.7	Не указана
DrayTek	Vigor Switch G2280x	до 2.6.7	Не указана
DrayTek	Vigor Switch G2121	до 2.6.7	Не указана
DrayTek	Vigor Switch G2100	до 2.6.7	Не указана
DrayTek	Vigor Switch Fx2120	до 2.6.7	Не указана
DrayTek	Vigor Switch P1282	до 2.6.7	Не указана
DrayTek	Vigor Switch G1282	до 2.6.7	Не указана
DrayTek	Vigor Switch G1085	до 2.6.7	Не указана
DrayTek	Vigor Switch G1080	до 2.6.7	Не указана
DrayTek	VigorAP 903	до 1.4.0	Не указана
DrayTek	VigorAP 912C	до 1.4.0	Не указана
DrayTek	VigorAP 918R	до 1.4.0	Не указана
DrayTek	VigorAp 1060C	до 1.4.0	Не указана
DrayTek	VigorAp 906	до 1.4.0	Не указана
DrayTek	VigorAp 960C	до 1.4.0	Не указана
DrayTek	VigorAP 1000C	до 1.4.0	Не указана
DrayTek	Vigor 2766ac	до 3.9.6	Не указана
DrayTek	Vigor 2766ac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2766ax	до 3.9.6	Не указана
DrayTek	Vigor 2766ax	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2766vac	до 3.9.6	Не указана
DrayTek	Vigor 2766vac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2765ax	до 3.9.6	Не указана
DrayTek	Vigor 2765ax	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2765vac	до 3.9.6	Не указана
DrayTek	Vigor 2765vac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2765ac	до 3.9.6	Не указана
DrayTek	Vigor 2765ac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2763ac	до 3.9.6	Не указана
DrayTek	Vigor 2763ac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2620l	до 3.9.6	Не указана
DrayTek	Vigor 2620l	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2620ln	до 3.9.6	Не указана
DrayTek	Vigor 2620ln	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor LTE 200n	до 3.9.6	Не указана
DrayTek	Vigor LTE 200n	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2915ac	до 3.9.6	Не указана
DrayTek	Vigor 2915ac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2135ac	до 3.9.6	Не указана
DrayTek	Vigor 2135ac	от 4.0.0 до 4.2.4	Не указана
DrayTek	Vigor 2135ax	до 3.9.6	Не указана
DrayTek	Vigor 2135ax	от 4.0.0 до 4.2.4	Не указана

Показано 50 из 120

Источники (1)

https://gist.github.com/Ji4n1ng/6d028709d39458f5ab95b3ea211225ef

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.8

Уточните SLA под вашу среду

Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации0.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2023-06-01

Опубликована

2024-12-23

Обновлена

2024-12-23

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

Уязвимости → активы → ответственные — цепочка за минуту
SLA-таймеры и эскалация — дедлайны не горят
PDF-отчёт для ФСТЭК — за один клик

Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2023-33778 MITRE: CWE-798 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-13369

Высокий

8.8

Уязвимость компонента HTTP CGI Request Handler микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая

BDU:2024-08805

Средний

4.7

Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая нарушителю проводить

BDU:2024-08806

Высокий

6.8

Уязвимость двоичного файла recvCmd микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая нарушителю в

BDU:2024-08807

Высокий

8.0

Уязвимость сценария /cgi-bin/ipfedr.cgi веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позв

BDU:2024-07740

Критический

10.0

Уязвимость функции GetCGI() веб-интерфейса пользователя микропрограммного обеспечения сетевых устройств DrayTek Vigor, п

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостям Модуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0

Детали уязвимости BDU:2024-11413

Описание

Что делать с BDU:2024-11413

Оценка критичности (CVSS)

Тактики и техники

Уязвимое ПО (120)

Рекомендации по устранению

Источники (1)

SLA ФСТЭК №117

Threat Intelligence

Информация

Внешние ресурсы

Связанные уязвимости

Что добавляет КиберОснова к данным БДУ ФСТЭК

Автоматизируйте управление уязвимостями