Der Netzwerkhersteller DrayTek warnt vor der kritischen Schwachstelle CVE-2025-10547, die mehrere Vigor-Router betrifft. Über speziell präparierte HTTP(S)-Anfragen an das Web-Interface lässt sich ohne Authentifizierung beliebiger Code aus der Ferne ausführen (RCE). Angesichts eines vorhandenen Proof of Concept (PoC) rät der Anbieter zur umgehenden Installation der bereitgestellten Firmware-Updates.
Technische Einordnung: Ursache und Auswirkung
Laut Sicherheitsbulletin führt eine erfolgreiche Ausnutzung zu Speicherbeschädigung mit der Folge potenzieller Remote Code Execution. Die Schwachstelle wurde im Sommer 2025 von Pierre-Yves Maes (ChapsVision) entdeckt. Als Kernursache nennt der Forscher ein nicht initialisiertes Stack-Wert, das eine arbitrary free-Situation erzeugt, indem free() auf eine beliebige Speicheradresse angewendet wird. Dieses Muster ist ein klassischer Vorläufer gezielter Heap-/Speicher-Korruption und ermöglicht kontrollierte Codeausführung. Maes validierte die Lücke praktisch mittels PoC; detaillierte technische Informationen sollen zeitnah folgen, was die Wahrscheinlichkeit rascher Massen-Exploitation erhöht.
Angriffsoberfläche: Web-Admin-GUI und SSL VPN
Ein zentraler Trigger ist die Erreichbarkeit des Web-Managements via HTTP/HTTPS, insbesondere aus dem WAN. DrayTek empfiehlt, den Fernzugriff auf die Admin-Oberfläche vom Internet zu deaktivieren und SSL VPN per Access Control Lists (ACL) sowie VLAN-Segmentierung zu begrenzen. Selbst bei geschlossenem externen Zugang ist die Web-GUI in der Regel intern verfügbar, wodurch Insider oder kompromittierte LAN-Hosts weiterhin ein Risiko darstellen.
Betroffene Geräte und verfügbare Patches
Die Lücke betrifft mehrere Modelle der Vigor-Serie. DrayTek hat fehlerbereinigte Firmware-Versionen veröffentlicht. Administratoren sollten die im offiziellen Advisory genannten Versionen umgehend einspielen. Best Practices umfassen: vorab Konfiguration sichern, ein Wartungsfenster definieren, nach dem Update Funktionstests durchführen und Richtlinien (z. B. Firewall/ACL) auf Korrektheit prüfen.
Warum Edge-Geräte besonders exponiert sind
Router an der Netzwerkperipherie kontrollieren Ein- und Ausgangsverkehr. Eine Kompromittierung kann Routenmanipulation, Traffic-Abgriff, das Einschleusen bösartiger Firewall-Regeln und Lateral Movement ermöglichen. Historisch wurden SOHO-/SMB-Router häufig von Botnetzen und APT-Gruppen missbraucht (etwa durch Kampagnen im Stil von Mirai oder VPNFilter). Die allgegenwärtige Internetsuche nach verwundbaren Oberflächen macht offen erreichbare Admin-GUIs zu besonders attraktiven Zielen.
Konkrete Maßnahmen zur Risikoreduktion
Jetzt patchen: Spielen Sie die von DrayTek empfohlenen Firmware-Updates ohne Verzögerung ein. Deaktivieren Sie das Web-Management über WAN. Falls Fernadministration betrieblich notwendig ist, beschränken Sie sie strikt per ACL (Quell-IP), nutzen Sie einen separaten Management-VLAN und bevorzugen Sie den Zugriff ausschließlich über VPN mit MFA.
Erzwingen Sie HTTPS mit aktuellen Cipher-Suites, deaktivieren Sie veraltete Protokolle und Komponenten. Setzen Sie einzigartige, starke Passwörter und entfernen oder deaktivieren Sie Standardkonten. Dies reduziert die Angriffsfläche signifikant und erschwert Credential-Stuffing sowie Brute-Force-Angriffe.
Aktivieren Sie Logging und Monitoring für Anmeldeversuche und administrative Aktionen und konfigurieren Sie Alarme für Auffälligkeiten. Sofern vorhanden, ergänzen Sie IDS/IPS um passende Signaturen, sobald diese verfügbar sind. Laufende Überwachung ermöglicht ein frühes Erkennen von Exploit-Versuchen.
Führen Sie regelmäßige Konfigurations-Audits durch, um persistente Manipulationen (z. B. Autostart-Skripte, unautorisierte NAT/ACL-Regeln) zu entdecken. War die Web-GUI aus dem Internet erreichbar, prüfen Sie rückwirkend die Protokolle, verifizieren Sie die Firmware-Integrität (Checksummen) und erwägen Sie bei Zweifeln eine Neuinstallation aus vertrauenswürdiger Quelle mit anschließender Einspielung einer sauberen Konfiguration.
Zeitnahes Patch-Management, die konsequente Minimierung der Angriffsfläche (kein WAN-Adminzugriff, strenge ACLs, VLAN-Segmentierung) sowie kontinuierliches Monitoring sind entscheidend, um das Risiko durch CVE-2025-10547 zu senken. Verantwortliche sollten exponierte Services kurzfristig überprüfen, Updates für betroffene DrayTek Vigor-Router installieren und Zugriffs- sowie Überwachungsmechanismen stärken, bevor detaillierte Exploit-Beschreibungen und automatisierte Angriffswerkzeuge breitere Verfügbarkeit erreichen.
