20/11/19
Компания D-Link предупредила пользователей, что несколько моделей маршрутизаторов содержат ряд критических уязвимостей, эксплуатация которых позволяет удаленным злоумышленникам получить контроль над оборудованием и похитить данные. Как сообщил производитель, проблемы не будут исправлены, поскольку оборудование устарело и больше не будет получать обновления безопасности.
Уязвимость затрагивает 13 моделей маршрутизаторов D-Link, в том числе DIR-866, DIR-655, DHP-1565, DIR-652, DAP-1533, DGL-5500, DIR-130, DIR-330, DIR-615, DIR-825, DIR-835, DIR-855L и DIR-862.
Проблема связана с тем, что каждый маршрутизатор использует инструмент web-конфигурации, позволяющий неавторизованному злоумышленнику удаленно получить доступ к устройству, перехватить контроль над ним и скомпрометировать другие подключенные устройства.
Компания D-Link порекомендовала пользователям «отключить функцию удаленного управления уязвимых маршрутизаторов и установить на устройствах сложные пароли».
Из сообщения компании неясно, связаны ли данные критические уязвимости с проблемой CVE-2019-16920 в прошивке маршрутизаторов DIR-655, DIR-866L, DIR-652 и DHP-1565. Ее эксплуатация позволяет злоумышленнику путем ввода произвольных символов в интерфейсе шлюза PingTest удаленно выполнить код и полностью скомпрометировать систему. Уязвимость была обнаружена в сентябре 2019 года, однако поставщик также не планирует выпускать для нее патчи.
