Некоторые из широко продаваемых моделей VPN-маршрутизаторов D-Link, в частности D-Link DSR-150, DSR-250, DSR-500 и DSR-1000AC и ряд других моделей семейства DSR с прошивкой версий 3.14 и 3.17, оказались подвержены трем уязвимостям с высоким уровнем риска, обнаруженным исследователями группы Digital Defense еще в августе этого года.
Информация о раскрытых уязвимостях была доверительно передана в D-Link 11 августа. Вендор получил информацию, что, используя выявленные проблемы, злоумышленники смогут получить удаленный доступ к уязвимым сетевым устройствам и выполнить на них произвольные команды с помощью специально созданных запросов. Злоумышленники смогут также инициализировать процесс отказа в доступе, реализовав тем самым соответствующую сервисную атаку.
Тайваньский производитель сетевого оборудования D-Link подтвердил наличие проблем, опубликовав 1 декабря соответствующее информационное сообщение. По имеющимся оценкам, в результате выявленных проблем под угрозу попали миллионы домашних и бизнес-сетей с соответствующими VPN-маршрутизаторами D-Link, причем они сохраняют уязвимость даже в случае использования защиты с выбором надежного пароля.
Позднее D-Link сообщила, что исправления для двух из трех выявленных недостатков уже находятся на стадии разработки. В свою очередь, Digital Defense опубликовало свою оценку произошедшего, заявив, что обнаруженные уязвимости могут быть реализованы удаленно через интернет «как из интерфейсов WAN, так и из LAN».
Другими словами, удаленный злоумышленник, не прошедший проверку на свою подлинность, получает возможность к аутентифицированному доступу к веб-интерфейсу маршрутизатора и может выполнять произвольные команды от имени пользователя с правами root, получая тем самым «полный контроль над маршрутизатором».
Как ясно из описания одной из выявленных проблем, о которой сообщает Digital Defense, модификации может быть подвергнут открытый текстовый файл конфигурации маршрутизатора. В него могут быть внедрены ложные записи CRON и запущены на исполнение произвольные команды от имени пользователя root.
В ответ на эту информацию в D-Link заявили, что компания не будет исправлять этот недостаток «в продуктах этого поколения», заявив, что это – «очевидная функция».
Ранее редакция THG.ru опубликовала обзор Aruba HPE InstantOn АР11 и AP11D. Линейка Aruba HPE InstantOn отлично подходит для создания беспроводной сети для малого бизнеса, отличаясь простотой реализации, не требующей особых знаний. В нашем материале мы расскажем об этой линейке и оценим возможности её младших представителей – Aruba HPE InstantOn АР11 и AP11D. Подробнее об этом читайте в статье “Обзор Aruba HPE InstantOn АР11 и AP11D: простое решение для беспроводной сети предприятия”.
