Следующая новость
Предыдущая новость

Роутеры D-Link не получили исправлений для критических багов

16.06.2020 12:03
Роутеры D-Link не получили исправлений для критических багов

Рекомендуем почитать:

Xakep #253. Сканеры уязвимостей

  • Содержание выпуска
  • Подписка на «Хакер»

В феврале текущего года специалисты Palo Alto Networks выявили ряд серьезных уязвимостей в маршрутизаторах D-Link DIR-865L, о чем поспешили сообщить производителю. К сожалению, данная модель роутера, выпущенная еще в 2012 году, уже вообще не поддерживается в США, хотя для европейских пользователей статус этого продукта обозначен как «End of Sale». Это означает, что модель уже снята с продажи, однако еще должна поддерживаться производителем.

Роутеры D-Link не получили исправлений для критических багов

Увы, как стало известно теперь, из-за «почтенного возраста» этой модели, роутеры все же получили исправления не для всех обнаруженных уязвимостей. Так, исследователи выявили следующие баги в D-Link DIR-865L:

  • CVE-2020-13782: инъекция команд, критическая уязвимость (9,8 баллов по шкале CVSS); не исправлена;
  • CVE-2020-13786: CSRF-уязвимость, высокий уровень серьезности (8,8 баллов по шкале CVSS); исправлена;
  • CVE-2020-13785: некорректная криптографическиая стойкость, высокий уровень серьезности (7,5 баллов по шкале CVSS); исправлена;
  • CVE-2020-13784: предсказуемое seed в генераторе псевдослучайных чисел, высокий уровень серьезности (7,5 баллов по шкале CVSS); не исправлена;
  • CVE-2020-13783: хранение конфиденциальной информации открытым текстом, высокий уровень серьезности (7,5 баллов по шкале CVSS); исправлена;
  • CVE-2020-13787: передача конфиденциальной информации открытым текстом,­ высокий уровень серьезности (7,5 баллов по шкале CVSS); не исправлена.

Стоит отметить, что хотя уязвимость CVE-2020-13782 получила статус критической, в своем отчете исследователи пишут, что ее использование все же требует аутентификации. И хотя этого можно добиться с помощью вышеупомянутого CSRF-бага, это все же снижает уровень опасности проблемы. Тем не менее, эксперты говорят и о том, что объединение некоторых из этих уязвимостей может позволить злоумышленникам перехватывать сетевой трафик жертвы и похищать cookie сессий, что, разумеется, очень опасно.

Специалисты D-Link отреагировала на сообщение экспертов релизом бета-версии прошивки, однако, как уже можно было понять по вышеприведенному списку, в ней были исправлены лишь три уязвимости из шести перечисленных: CSRF, слабое шифрование и хранение конфиденциальной информации открытым текстом.

Более того, пользователям из США представители D-Link вообще рекомендуют отказаться от использования проблемных роутеров, так как это может представлять опасность для подключенных к ним устройств и конечных пользователей.

Издание Bleeping Computer обратилось за комментарием к представителям компании, желая узнать судьбу трех оставшихся уязвимостей, но производитель так и не ответил. Журналисты отмечают, что большинство пользователей крайне редко меняют свои маршрутизаторы и не следят за истечением периода их поддержки. Данный тип оборудования скорее относится к разряду «установи и забудь», а меняют роутеры лишь тогда, когда они перестают функционировать. Из-за этого вряд ли стоит рассчитывать на то, что многие владельцы D-Link DIR-865L когда-либо прочтут предупреждение производителя или установят патчи хотя бы для трех из шести уязвимостей.

Источник

Последние новости