Купи роутер и жди хакеров
Компания D-Link, известный в России и мире производитель телеком-оборудования, наотрез отказалась устранять уязвимость в своих роутерах DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N и DSR-1000N. Как пишет портал Tom’s Hardware, проблема критическая – она позволяет удаленно запускать произвольный код из-за «дыры», приводящей к переполнению буфера.
Все перечисленные роутеры, как убедилась редакция CNews, в свое время продавались на территории России. Некоторые из них до сих пор присутствуют в легальной рознице.
D-Link пока что не поделилась точными подробностями новой угрозы, возможно, чтобы защитить пользователей от потенциальных хакеров.
Тем не менее, это открывает ящик Пандоры возможных угроз, включая, помимо прочего, кражу данных, установку вредоносного и шпионского ПО, а также DoS-атаки.
Есть некоторые подозрения
В то же время причину, по которой D-Link не желает чинить свое «железо» и ставит пользователей под угрозу взлома, компания опубликовала. Производство всех перечисленных устройств уже прекращено, притом некоторых из них – много лет назад.
D-Link опубликовала на своем сайте отдельную заметку, посвященную проблеме, в которой перечислила все опаcные модели роутеров и сроки прекращения их технической поддержки. Исходя из этих данных, становится ясно, что устройства получили широкое распространение в мире. При этом, даже несмотря на то, что эти маршрутизаторы давно признаны самой D-Link устаревшими новые прошивки для них, по всей видимости, все же выходят.
На это, в теории, может указывать последний столбец в таблице. Четыре роутера из шести получили апдейты 18 ноября 2024 г., а два оставшихся – днем позже.
Также для многих моделей существуют неофициальные прошивки, которые тоже обновляются. D-Link отдельно уточнила, что установка подобного ПО ведет к потере гарантии.
Россияне под ударом
Модели маршрутизаторов DSR-150, DSR-150N, DSR-250 и DSR-250N были сняты с производства лишь в мае 2024 г., тогда как DSR-500N и DSR-1000N не выпускаются с сентября 2015 г. соответственно.
Редакция CNews обнаружила роутер DSR-250N в продаже на одном из крупнейших маркетплейсов – за него просят более 22 тыс. руб. Также многие перечисленные модели ранее продавались в офлайн-рознице – к примеру, их можно было приобрести в сети магазинов DNS.
D-Link не приводит объемы проданных в России дефектных роутеров. Всем их владельцам она предлагает купить им на замену новые современные устройства, поддержка которых еще не прекращена.
Россиянам, а также жителям почти всех других стран, где D-Link реализует свою продукцию, компания предлагает купить новые маршрутизаторы за их полную стоимость. И только с США она готова сделать покупателям 20-процентную скидку на новую модель DSR-250v2.
Стандартная практика
Многие производители сетевого оборудования отказываются латать «дыры» в своем «железе» и подвергают пользователей риску взлома, а в качестве единственного решения предлагают просто купить новую модель нужного им оборудования. В подобном замечена, например, Cisco, но D-Link выделяется на ее фоне тем, что это уже второй ее подобный отказ за последние две недели.
В середине ноября 2024 г. CNews писал о решении D-Link не устранять огромную критическую брешь CVE-2024-10914 в своих сетевых хранилищах DNS-320, DNS-320LW, DNS-325 и DNS-340L с прошивкой до версии 20241028. Проблема затронула около 60 тыс. устройств по всему миру.
Причина, как и решение, все те же – прекращение поддержки и покупка актуальных аналогов, в которых «дыры» если и есть, то устраняются. По крайней мере, пока не истек их срок технической поддержки.
Поделиться
