DrayTek-routers herstarten door misbruik van kwetsbaarheid waar patch van uit is

Verschillende Nederlandse virtuele providers melden problemen met herstartende DrayTek-routers, die volgens de importeur komen doordat er 'wereldwijd misbruik' wordt gemaakt van een kwetsbaarheid. DrayTek bracht in oktober patches uit voor de kwetsbaarheden.

Vooral zakelijke providers melden de problemen, zoals Internet Diensten Texel en IP ONE. De problemen treden op bij verschillende DrayTek Vigor-routers. De twee providers melden op basis van de Nederlandse DrayTek-leverancier dat er 'wereldwijd misbruik wordt gemaakt' van kwetsbaarheden in DrayTek-routers met verouderde firmware. Daarbij 'bestaat de kans' dat de routers herstarten.

DrayTek publiceerde begin maart een adviesbericht over de kwetsbaarheden, waarin klanten eraan werden herinnerd dat er updates beschikbaar zijn. De problemen van de herstartende modems bij Nederlandse providers lijken van de laatste dagen te zijn. De problemen werden in oktober voor het eerst bekendgemaakt en gepatcht. Gebruikers met routers waarvan de ondersteuning is verlopen en dus geen firmwareupdates meer ontvangen, krijgen het advies SSL VPN en WAN-remotetoegang uit te schakelen, of een WAN-accesslist te gebruiken.

Door Andrei Stiru

Redacteur

25-03-2025 • 13:54

35

Submitter: robcoenen

Reacties (35)

35
35
24
0
0
10
Wijzig sortering
Vraag me af of dit de reden is dat de Vigor 2865 telkens onverklaarbaar in een infinite bootloop kwam, met meerdere firmware versies, maar dat is inmiddels al meer dan een jaar terug. Maar dat leek hij ook te doen voordat het hem lukte succesvol een verbinding op te zetten naar buiten terwijl hij op andere momenten maanden doordraaide. Was totaal willekeurig.
Nee dit is een losstaand incident.
Wij hebben ook, sinds gisteren, bij meerdere klanten, Drayteks gehad die net niet de laatste firmware hadden (nog een versie voor 3.9) die heel regelmatig herstartte door dit euvel.
De gemiddelde uptime voordat een apparaat weer ging herstarten was ongeveer 1 tot 3 minuten.
Het flashen van de firmware naar minimaal versie 3.9.2 of hoger of inderdaad SSL VPN en WAN-remotetoegang uit te schakelen of een WAN-accesslist te gebruiken lostte dit issue op.
Extra aanvulling (alhoewel iedereen t ondertussen al wel opgelost heeft)

alleen WAN-Accesslist was niet voldoende als SSL-VPN aan stond.
Eigenlijk moest je gewoon alle https verkeer uitschakelen naar de draytek zelf, en als SSL vpn uit staat en er staat een access list aan voor wan management dan kwam je niet bij de https server.
Is het herstarten het uiteindelijke gevolg? Zoals ik het artikel nu lees herstart de router tijdens een 'aanval' en is er mogelijk nog meer aan de hand.
ik heb zoiets ook wel eens (in meer dan 1 geval) gezien bij de prosumer varianten van de Draytek routers.. in die gevallen bleek het na onderzoek te komen door een brakke onstabiele power-adapter. (welke in alle gevallen ook al heel wat jaartjes oud was).
Nieuwe adapter loste die problemen op.
Ook de 2865 heeft gewoon een externe poweradapter.

De schijnbare willekeurigheid zou bijvoorbeeld kunnen komen door (seisoens) temperatuurinvloeden… of spanningsvariatie op het net door zonnepanelen enz.
Oh, en Ziggo heeft een update dit weekend gedaan waardoor een Hoop Drayteks over de zeik zijn gegaan.
Ik vermoed dat dit juist is gedaan om dit Misbruik tegen te gaan.

Just een TIP. Heb je een Draytek, haal de WAN kabel los en download de laatste Firmware update. en dan moet ie er weer even tegen aan kunnen.
Ik kreeg gewoon netjes een e-mail van Draytek dat er een exploit was ontdekt en heb op aanraden dus maar de firmware geupdate.
Ik ook.
Nu had ik het al eerder gedaan, maar het was wel weer ff een checkup momentje om te kijken of er weer nieuwe firmware was.
Mijn 2927ax is iig weer bij de tijd ;)
haal de WAN kabel los en download de laatste Firmware update.
Ook in die volgorde?
Het vervelende is dat voor diverse VDSL-modem/routers van Draytek (o.a. Vigor 2760-serie) geen updates naar 3.9.x zijn / worden gemaakt.

Met het vooruitzicht dat in de nabije toekomst glasvezel / FttH beschikbaar komt is er bij diverse MKB'ers geen bereidheid om opnieuw te investeren in een xDSL modem.

Het hierboven beschreven dichtzetten / firewallen van de WAN interface 'lost het probleem inderdaad op' (lijkt een goede tijdelijke work-arround).
Een xDSL modem van 100-250 euro is niks vergeleken met de kosten van een downtime door een constant herstartend modem. Zelfs MKB-ers snappen dat :)
Vergeet ook SSL-VPN niet uit te zetten, anders blijf je problemen houden.
Nee hoor, als je geen firmware update kan of wil draaien is alleen access list op wan interface voor management niet voldoende als ssl vpn aan staat.
Die moet ook uit anders is je modem nog steeds vatbaar.
Vreselijke bagger troep dat Draytek... Onze vorige leverancier zweerde er bij... Veel vage netwerk issues op kantoor. Ping tussen de 8-10ms op een lokaal netwerk gemiddeld 5% packetloss. Management interface stopte met reageren na ongeveer 30 dagen, enige oplossing was stroom eraf en er weer op.. Nu fortigate router ping onder de 1ms en 0% packetloss over afgelopen 6 maanden.... Als ik dat eerder had geweten.
Wij hebben zelf, en bij eindklanten van ons enkele honderden drayteks staan, we monitoren die aan de wan kant continue, maar 5% packetloss hebben we zelfs op de meest gare DSL verbindingen niet.

Verder is de vergelijking met een fortigate natuurlijk tikkeltje krom
Het is een beetje zeggen dat je instap volkswagen polotje zo kut rijd, maar dat je nieuwe BMW X5 hybride met 6 cylinder veel lekkerder rijd.
Dit verklaart misschien waarom Odido aangaf mijn router thuis te vervangen. (Draytek Vigor 2132FVn) Deze heeft verder geen update meer gehad om dit probleem te verhelpen.

Ik heb deze al jaren geleden vervangen door een eigen router, dus heb hier zelf geen last van.

[Reactie gewijzigd door qlum op 25 maart 2025 14:52]

Heb je hem nog wel? Is dat er eentje met SFP module?
Ja, hij heeft een SFP, ik heb hem nog wel, gezien ik hem niet zomaar weg mocht gooien en mocht er iets gebeuren was het een back-up.
ooh die zijn zeldzaam geworden ja XD. Ik heb zelf 4 jaar geleden al een zyxel T-50 gekregen. Die hebben een losse mediaconverter zonder SFP module. Moest dus zelf zo'n module gaan regelen.

Die modules zijn handig om direct glas in te kunnen prikken op bijvoorbeeld Mikrotik routerboards en Unifi apparatuur van Ubiquiti. Heb je geen conversie naar glas en dus minder stroomverbruik door extra apparaat en lagere latency. Het scheelt ongeveer 0,7ms (meting verschil tussen mij en mijn ouders paar km verderop naar dezelfde server) en op 4 ms baseline is dat best wel veel.
De meeste glasvezelnetwerken gaan om naar GPON technieken, vaker zie je dan ook dat de gpon adapter dan ook onderdeel van de dienst (zoals bij KPN) waardoor je overnamepunt dus eigenlijk NA de glas conversie is, derhalve zal je met geintegreerde SFP modules stukken minder vaak zien.
I know, vet k*t.

Bij odido ben je nu voor een ONT ineens een paar honderd euro kwijt ipv €9-12.

Voor mij in ieder geval nog een reden om niet over te stappen naar een 2/8Gig abonnement. Als ze dit nou gewoon op bestaande AON hardware hadden gedaan, dan was ik al overgestapt, maar nu moeten ze specifiek weer moeilijk gaan doen voor XGS-pon.
Ik vind het vooral raar dat Draytek deze zaken standaard open heeft staan, ongeacht of het wordt gebruikt.
Remote management vanaf de WAN zijde staat standaard uit en moet je handmatig aanzetten.
SSL-VPN staat altijd wel standaard aan.
In nieuwere firmwares staat het ook default uit (als je echter upgraded blijft het aan staan, bij reset staat het wel uit).
KPN meldt ook problemen.
Verder is via deze link een overzicht van de modellen terug te vinden welke een firmware optie aanbieden.
Ik heb een oude draytek die na het resetten een wifi connectie open zet voor iedereen.
Kwalijke zaak (sowieso) met deze kwetsbaarheid.
Gebruikers met routers waarvan de ondersteuning is verlopen en dus geen firmwareupdates meer ontvangen, krijgen het advies SSL VPN en WAN-remotetoegang uit te schakelen, of een WAN-accesslist te gebruiken.

Dit lijkt mij tenalle tijden verstandig om te doen. Ook eventuele cloud connecties te blokkeren...
Bolletje Moderator Harde Waren 25 maart 2025 21:41
Hier zondag al melding over gehad van een bedrijf; daar waren de hele tijd disconnects. Ik kon het issue toen niet vinden. Daar is inderdaad een Draytek 2926 in gebruik. Met de hele tijd disconnects was het ook lastig om ondersteuning op afstand te doen. ISP gaf vandaag in de ochtend ook aan dat verbinding stabiel leek, maar dat ze zagen dat er een Draytek router in gebruik was en dat ze daar nu veel incidenten over kregen. Vandaag stroomden die nieuwsberichten over dit issue binnen. Nu de hele Draytek router er maar tussenuit.
Morgen die firmware upgrade maar eens proberen.
Het betreft een wereldwijde aanval die een buffer overflow veroorzaakt waardoor de DrayTek herstart.

Dat is in de nieuwe firmwares gefixt. Kun je niet upgraden wordt SSL VPN, Remote Access uitzetten geadviseerd.

Op dit item kan niet meer gereageerd worden.