DrayTek hefur tilkynnt um lagfæringar á alvarlegu öryggisgalli sem snýr að DrayOS rúternum. Galli þessi, sem hefur verið skráð sem CVE-2025-10547, gerir árásarmönnum kleift að nýta sér rangar HTTP eða HTTPS fyrirspurnir sem sendar eru á vefnotendaviðmót viðkvæmra tækja.
Samkvæmt upplýsingum frá DrayTek getur árásin leitt til minni skemmdar og kerfisfalls. Í sumum tilvikum er mögulegt að framkvæma viljandi kóða fjarri, eins og fram kemur í ráðleggingum fyrirtækisins. Þó að rútrar séu verndaðir gegn árásum frá WAN ef fjarlægð aðgangur að vefnotendaviðmótinu og SSL VPN þjónustunum sé hindraður, getur árásarmaður með aðgang að staðnetinu enn nýtt sér galla þennan í gegnum vefnotendaviðmótið.
Til að takmarka aðgang að vefnotendaviðmóti getur verið hægt að nota VLAN á LAN-hlið og aðgangsstýringalista (ACLs) á sumum gerðum. Pierre-Yves Maes, öryggisrannsakandi hjá ChapsVision, var sá sem tilkynnti um gallann 22. júlí. DrayTek hefur gefið út nýjar vélbúnaðaruppfærslur sem laga galla þennan í 35 Vigor rúterum, og hvetur notendur til að uppfæra tækin sín eins fljótt og auðið er.
Fyrirtækið hefur þó ekki gefið út neinar upplýsingar um hvort galla þessi hafi verið nýttur í raunveruleikanum. DrayTek tækni er víða notuð af atvinnurekendum og smásölum, og er þekkt fyrir að vera eftirsótt markmið fyrir tölvuþrjóta. Á síðasta ári beindust ransomware hópar að hundruðum fyrirtækja með því að nýta sér ókunnugan galla í DrayTek rúterum. Áður í ár voru skýrð víðtæk endurræsing Vigor rútera í Bretlandi, Ástralíu og öðrum löndum, sem talin var vera afleiðing mögulegra illviljandi TCP tengingar tilrauna sem beindust að eldri gerðum.
