DrayTek-routers herstarten door misbruik van kwetsbaarheid waar patch van uit is

Verschillende Nederlandse virtuele providers melden problemen met herstartende DrayTek-routers, die volgens de importeur komen doordat er 'wereldwijd misbruik' wordt gemaakt van een kwetsbaarheid. DrayTek bracht in oktober patches uit voor de kwetsbaarheden.

Vooral zakelijke providers melden de problemen, zoals Internet Diensten Texel en IP ONE. De problemen treden op bij verschillende DrayTek Vigor-routers. De twee providers melden op basis van de Nederlandse DrayTek-leverancier dat er 'wereldwijd misbruik wordt gemaakt' van kwetsbaarheden in DrayTek-routers met verouderde firmware. Daarbij 'bestaat de kans' dat de routers herstarten.

DrayTek publiceerde begin maart een adviesbericht over de kwetsbaarheden, waarin klanten eraan werden herinnerd dat er updates beschikbaar zijn. De problemen van de herstartende modems bij Nederlandse providers lijken van de laatste dagen te zijn. De problemen werden in oktober voor het eerst bekendgemaakt en gepatcht. Gebruikers met routers waarvan de ondersteuning is verlopen en dus geen firmwareupdates meer ontvangen, krijgen het advies SSL VPN en WAN-remotetoegang uit te schakelen, of een WAN-accesslist te gebruiken.

Door Andrei Stiru

Redacteur

Feedback • 25-03-2025 13:54
35 • submitter: robcoenen

25-03-2025 • 13:54

35

Submitter: robcoenen

Lees meer

Beveiligingslekken in OpenSSH-software maken mitm-aanvallen mogelijk - update
Beveiligingslekken in OpenSSH-software maken mitm-aanvallen mogelijk - update Nieuws van 18 februari 2025
Digital Trust Center meldt afname van ransomware-incidenten in Nederland
Digital Trust Center meldt afname van ransomware-incidenten in Nederland Nieuws van 17 februari 2025
Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen
Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen Nieuws van 24 januari 2025
Hacker claimt 'gevoelige data' van HPE te hebben gestolen
Hacker claimt 'gevoelige data' van HPE te hebben gestolen Nieuws van 21 januari 2025
Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek
Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek Nieuws van 27 december 2024
Europese Cyber Resilience Act is in werking getreden
Europese Cyber Resilience Act is in werking getreden Nieuws van 10 december 2024
EU-wet: fabrikanten moeten techproducten vijf jaar ondersteunen met updates
EU-wet: fabrikanten moeten techproducten vijf jaar ondersteunen met updates Nieuws van 20 november 2024
Kritieke kwetsbaarheden ontdekt in DrayTek Vigor-routers
Kritieke kwetsbaarheden ontdekt in DrayTek Vigor-routers Nieuws van 8 oktober 2024
Meer producten en artikelen
Beveiliging en antivirus DrayTek Beveiliging

Reacties (35)

-Moderatie-faq
35
35
24
0
0
10
Wijzig sortering
CriticalHit_NL 25 maart 2025 14:01
Vraag me af of dit de reden is dat de Vigor 2865 telkens onverklaarbaar in een infinite bootloop kwam, met meerdere firmware versies, maar dat is inmiddels al meer dan een jaar terug. Maar dat leek hij ook te doen voordat het hem lukte succesvol een verbinding op te zetten naar buiten terwijl hij op andere momenten maanden doordraaide. Was totaal willekeurig.
rngew @CriticalHit_NL25 maart 2025 14:19
Nee dit is een losstaand incident.
Wij hebben ook, sinds gisteren, bij meerdere klanten, Drayteks gehad die net niet de laatste firmware hadden (nog een versie voor 3.9) die heel regelmatig herstartte door dit euvel.
De gemiddelde uptime voordat een apparaat weer ging herstarten was ongeveer 1 tot 3 minuten.
Het flashen van de firmware naar minimaal versie 3.9.2 of hoger of inderdaad SSL VPN en WAN-remotetoegang uit te schakelen of een WAN-accesslist te gebruiken lostte dit issue op.
Powermage @rngew25 maart 2025 16:01
Extra aanvulling (alhoewel iedereen t ondertussen al wel opgelost heeft)

alleen WAN-Accesslist was niet voldoende als SSL-VPN aan stond.
Eigenlijk moest je gewoon alle https verkeer uitschakelen naar de draytek zelf, en als SSL vpn uit staat en er staat een access list aan voor wan management dan kwam je niet bij de https server.
necessaryevil @rngew26 maart 2025 18:20
Is het herstarten het uiteindelijke gevolg? Zoals ik het artikel nu lees herstart de router tijdens een 'aanval' en is er mogelijk nog meer aan de hand.
BrainCrash @CriticalHit_NL25 maart 2025 14:35
ik heb zoiets ook wel eens (in meer dan 1 geval) gezien bij de prosumer varianten van de Draytek routers.. in die gevallen bleek het na onderzoek te komen door een brakke onstabiele power-adapter. (welke in alle gevallen ook al heel wat jaartjes oud was).
Nieuwe adapter loste die problemen op.
Ook de 2865 heeft gewoon een externe poweradapter.

De schijnbare willekeurigheid zou bijvoorbeeld kunnen komen door (seisoens) temperatuurinvloeden… of spanningsvariatie op het net door zonnepanelen enz.
Insomnia1988 25 maart 2025 14:25
Oh, en Ziggo heeft een update dit weekend gedaan waardoor een Hoop Drayteks over de zeik zijn gegaan.
Ik vermoed dat dit juist is gedaan om dit Misbruik tegen te gaan.

Just een TIP. Heb je een Draytek, haal de WAN kabel los en download de laatste Firmware update. en dan moet ie er weer even tegen aan kunnen.
Sicos @Insomnia198825 maart 2025 14:33
Ik kreeg gewoon netjes een e-mail van Draytek dat er een exploit was ontdekt en heb op aanraden dus maar de firmware geupdate.
metalmania_666 @Sicos25 maart 2025 17:27
Ik ook.
Nu had ik het al eerder gedaan, maar het was wel weer ff een checkup momentje om te kijken of er weer nieuwe firmware was.
Mijn 2927ax is iig weer bij de tijd ;)
supersnathan94 @Insomnia198825 maart 2025 14:51
haal de WAN kabel los en download de laatste Firmware update.
Ook in die volgorde?
NetCompany 25 maart 2025 14:22
Het vervelende is dat voor diverse VDSL-modem/routers van Draytek (o.a. Vigor 2760-serie) geen updates naar 3.9.x zijn / worden gemaakt.

Met het vooruitzicht dat in de nabije toekomst glasvezel / FttH beschikbaar komt is er bij diverse MKB'ers geen bereidheid om opnieuw te investeren in een xDSL modem.

Het hierboven beschreven dichtzetten / firewallen van de WAN interface 'lost het probleem inderdaad op' (lijkt een goede tijdelijke work-arround).
NelgNL @NetCompany25 maart 2025 14:28
Een xDSL modem van 100-250 euro is niks vergeleken met de kosten van een downtime door een constant herstartend modem. Zelfs MKB-ers snappen dat :)
Powermage @NetCompany25 maart 2025 16:01
Vergeet ook SSL-VPN niet uit te zetten, anders blijf je problemen houden.
timdemore @Powermage29 maart 2025 13:35
Dat is onjuist.
Powermage @timdemore30 maart 2025 13:03
Nee hoor, als je geen firmware update kan of wil draaien is alleen access list op wan interface voor management niet voldoende als ssl vpn aan staat.
Die moet ook uit anders is je modem nog steeds vatbaar.
WhiteHatter 25 maart 2025 16:21
Vreselijke bagger troep dat Draytek... Onze vorige leverancier zweerde er bij... Veel vage netwerk issues op kantoor. Ping tussen de 8-10ms op een lokaal netwerk gemiddeld 5% packetloss. Management interface stopte met reageren na ongeveer 30 dagen, enige oplossing was stroom eraf en er weer op.. Nu fortigate router ping onder de 1ms en 0% packetloss over afgelopen 6 maanden.... Als ik dat eerder had geweten.
Jermak @WhiteHatter25 maart 2025 16:52
geluk ermee :o
Powermage @WhiteHatter26 maart 2025 19:33
Wij hebben zelf, en bij eindklanten van ons enkele honderden drayteks staan, we monitoren die aan de wan kant continue, maar 5% packetloss hebben we zelfs op de meest gare DSL verbindingen niet.

Verder is de vergelijking met een fortigate natuurlijk tikkeltje krom
Het is een beetje zeggen dat je instap volkswagen polotje zo kut rijd, maar dat je nieuwe BMW X5 hybride met 6 cylinder veel lekkerder rijd.
qlum 25 maart 2025 14:16
Dit verklaart misschien waarom Odido aangaf mijn router thuis te vervangen. (Draytek Vigor 2132FVn) Deze heeft verder geen update meer gehad om dit probleem te verhelpen.

Ik heb deze al jaren geleden vervangen door een eigen router, dus heb hier zelf geen last van.

[Reactie gewijzigd door qlum op 25 maart 2025 14:52]

supersnathan94 @qlum25 maart 2025 14:51
Heb je hem nog wel? Is dat er eentje met SFP module?
qlum @supersnathan9425 maart 2025 14:54
Ja, hij heeft een SFP, ik heb hem nog wel, gezien ik hem niet zomaar weg mocht gooien en mocht er iets gebeuren was het een back-up.
supersnathan94 @qlum26 maart 2025 13:02
ooh die zijn zeldzaam geworden ja XD. Ik heb zelf 4 jaar geleden al een zyxel T-50 gekregen. Die hebben een losse mediaconverter zonder SFP module. Moest dus zelf zo'n module gaan regelen.

Die modules zijn handig om direct glas in te kunnen prikken op bijvoorbeeld Mikrotik routerboards en Unifi apparatuur van Ubiquiti. Heb je geen conversie naar glas en dus minder stroomverbruik door extra apparaat en lagere latency. Het scheelt ongeveer 0,7ms (meting verschil tussen mij en mijn ouders paar km verderop naar dezelfde server) en op 4 ms baseline is dat best wel veel.
Powermage @supersnathan9426 maart 2025 19:37
De meeste glasvezelnetwerken gaan om naar GPON technieken, vaker zie je dan ook dat de gpon adapter dan ook onderdeel van de dienst (zoals bij KPN) waardoor je overnamepunt dus eigenlijk NA de glas conversie is, derhalve zal je met geintegreerde SFP modules stukken minder vaak zien.
supersnathan94 @Powermage26 maart 2025 22:29
I know, vet k*t.

Bij odido ben je nu voor een ONT ineens een paar honderd euro kwijt ipv €9-12.

Voor mij in ieder geval nog een reden om niet over te stappen naar een 2/8Gig abonnement. Als ze dit nou gewoon op bestaande AON hardware hadden gedaan, dan was ik al overgestapt, maar nu moeten ze specifiek weer moeilijk gaan doen voor XGS-pon.
moppentappers 25 maart 2025 15:22
Ik vind het vooral raar dat Draytek deze zaken standaard open heeft staan, ongeacht of het wordt gebruikt.
Powermage @moppentappers25 maart 2025 16:02
Remote management vanaf de WAN zijde staat standaard uit en moet je handmatig aanzetten.
SSL-VPN staat altijd wel standaard aan.
WoBBeL
@Powermage25 maart 2025 20:45
In nieuwere firmwares staat het ook default uit (als je echter upgraded blijft het aan staan, bij reset staat het wel uit).
robcoenen 25 maart 2025 14:39
KPN meldt ook problemen.
Verder is via deze link een overzicht van de modellen terug te vinden welke een firmware optie aanbieden.
Sunrise 25 maart 2025 14:52
Ik heb een oude draytek die na het resetten een wifi connectie open zet voor iedereen.
Kwalijke zaak (sowieso) met deze kwetsbaarheid.
whitemage2003 25 maart 2025 15:52
Gebruikers met routers waarvan de ondersteuning is verlopen en dus geen firmwareupdates meer ontvangen, krijgen het advies SSL VPN en WAN-remotetoegang uit te schakelen, of een WAN-accesslist te gebruiken.

Dit lijkt mij tenalle tijden verstandig om te doen. Ook eventuele cloud connecties te blokkeren...
Bolletje Moderator Harde Waren 25 maart 2025 21:41
Hier zondag al melding over gehad van een bedrijf; daar waren de hele tijd disconnects. Ik kon het issue toen niet vinden. Daar is inderdaad een Draytek 2926 in gebruik. Met de hele tijd disconnects was het ook lastig om ondersteuning op afstand te doen. ISP gaf vandaag in de ochtend ook aan dat verbinding stabiel leek, maar dat ze zagen dat er een Draytek router in gebruik was en dat ze daar nu veel incidenten over kregen. Vandaag stroomden die nieuwsberichten over dit issue binnen. Nu de hele Draytek router er maar tussenuit.
Morgen die firmware upgrade maar eens proberen.
timdemore @Bolletje29 maart 2025 13:42
Het betreft een wereldwijde aanval die een buffer overflow veroorzaakt waardoor de DrayTek herstart.

Dat is in de nieuwe firmwares gefixt. Kun je niet upgraden wordt SSL VPN, Remote Access uitzetten geadviseerd.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq