D-Link не будет исправлять критические уязвимости в своих популярных роутерах
Компания D-Link выпустила официальное предупреждение для своих клиентов о наличии четырех уязвимостей, которые позволяют дистанционно выполнять код. Однако производитель не планируют выпускать какие-либо исправления и патчи, потому как маршрутизатор больше не поддерживается компанией.
Уязвимости не будут устранены
Компания D-Link сообщила, что четыре уязвимости удаленного выполнения кода (RCE), затрагивающие все версии маршрутизаторов DIR-846W не будут устранены. Главная причина в том, что срок поддержки этих устройств уже истек. Об этом в начале сентября 2024 г. говориться в материале, который был опубликован на сайте производителя.
D-Link выпустила предупреждение о четырех уязвимостях RCE, затрагивающих все аппаратные и микропрограммные версии маршрутизатора DIR-846W. По словам разработчиков, они не будут исправлять эти дефекты, поскольку маршрутизатор достиг стадии окончания срока службы (EOL) и окончания поддержки (EOS). Уязвимости, три из которых оцениваются как критические, были обнаружены исследователем по безопасности под ником yali-1002. Он воздержался от публикации эксплойтов proof-of-concept (PoC). Несмотря на серьезность этих уязвимостей, D-Link рекомендует пользователям отказаться от использования устройства из-за отсутствия постоянной поддержки.
CVE-2024-41622 - эта критическая уязвимость с оценкой CVSS v3 9.8 позволяет удаленно выполнять команды через параметр tomography_ping_address в интерфейсе /HNAP1/. Для эксплуатации не требуется аутентификация.
CVE-2024-44340 – данная уязвимость, получившая оценку CVSS v3 8.8 из-за требования аутентифицированного доступа. Позволяет выполнить RCE через параметры smartqos_express_devices и smartqos_normal_devices в функции setsmartqossettings.
CVE-2024-44341 – это еще один критический недостаток с оценкой по CVSS v3 9.8, который может быть использован через поддельный POST-запрос, направленный на параметр lan(0)_dhcps_staticlist.
CVE-2024-4434 - критическая уязвимость, также имеющая оценку CVSS v3 9,8, позволяет использовать RCE через параметр wl(0).(0)_ssid.
Маршрутизаторы DIR-846W, продававшиеся в основном за пределами США, по-прежнему используются на различных мировых рынках. Даже несмотря на то, что срок их эксплуатации истек в 2020 г. Учитывая характер этих недостатков, маршрутизаторы подвергаются значительному риску взлома ботнетами вредоносного программного обеспечения (ПО), такими как Mirai и Moobot, что может привести к использованию устройств в распределенных кибератаках типа DDoS.
Устранение неисправностей
Поскольку D-Link не будет выпускать исправлений для этих уязвимостей, основная рекомендация - вывести из эксплуатации и заменить маршрутизатор DIR-846W на поддерживаемую модель, которая регулярно получает обновления безопасности. Если замена устройства невозможна, пользователям или системным администраторам следует предпринять следующие шаги для снижения риска.
Обновите прошивку до последней доступной версии. Убедитесь, что на маршрутизаторе установлена последняя версия прошивки, предоставленная компанией D-Link до окончания поддержки.
Во-первых, необходимо защитить портал администратора. Используйте надежный уникальный пароль для веб-портала админа, чтобы предотвратить несанкционированный доступ.
Во-вторых, необходимо включить шифрование Wi-Fi. Убедитесь, что шифрование Wi-Fi включено, чтобы добавить уровень безопасности к беспроводной сети.
Повторение ранних ошибок
В апреле этого года независимый исследователь кибербезопасности под псевдонимом Netsecfish также обнаружил серьезную уязвимость в нескольких моделях сетевых хранилищ D-Link, которые больше не поддерживаются производителем. Проблема заключается в скрипте /cgi-bin/nas_sharing.cgi, влияющем на компонент обработчика HTTP GET запросов.
Уязвимость, получившая обозначение CVE-2024-3273, связана с наличием зашитого в ПО аккаунта (имя пользователя messagebus без пароля) и возможностью инъекции команд через параметр system. Это позволяет хакерам удаленно выполнять команды на устройстве. Пример PoC-эксплойта, опубликованного исследователем Netsecfish, наглядно показывает, как добавление команды в кодировке base64 к параметру system приводит к ее выполнению на устройстве. Белый хакер предупреждает, что успешное использование этой уязвимости может привести к несанкционированному доступу к чувствительной информации, изменению настроек системы или созданием условий для проведения ИТ-атаки типа DDoS.
Модели устройств, на которые влияет CVE-2024-3273, следующие: DNS-320L версии ПО 1.11; DNS-325 версии ПО 1.01; DNS-327L версии ПО 1.09; DNS-340L версии 1.08.
По данным Netsecfish, в сети обнаружено более 92 тыс. уязвимых устройств D-Link, подверженных риску кибератак через эту уязвимость. Компания же D-Link сообщила, что устройства достигли конца своего жизненного цикла и больше не поддерживаются. Производитель рекомендует заменить устаревшие устройства на модели, которые еще будут получать обновления прошивки.