CVE-2019-16920 容許遠端未經授權攻擊者在目標裝置主執行代碼,而 D-Link 將不會為存在有關漏洞的路由器推出補丁,令四款已停止發售和支援的路由器曝露於攻擊之下。
四款舊型號受影響
存在漏洞的靭體影響到 DIR-655、DIR-866L、DIR-652 和 DHP-1565 四款產品,全部都是家用的 Wi-Fi 路由器,D-Link 在較早前回覆首家發現漏洞的網絡保安公司,全部四款產品已經「end-of-life」,廠方不再銷售和支援 (不過這些型號仍然可以從第三方零售商購買全新產品)。保安公司形容事件是「很多韌體製造商的典型保安隱患」。
攻擊者可取得管理員密碼
CVE-2019-16920 的漏洞源於缺少完整性的檢查,結果會導致攻擊者能取得管理員密碼,或安裝他們自己的後門程式到裝置,也即是可以安裝惡意程式、從路由器窺視進出的資料,甚至用作感染其他裝置。由於不會有修復的補丁,受影響的用戶應該盡快升級他們的裝置。
其實在 9 月,有研究人員發現 D-Link 路由器存在可漏露密碼的漏洞,可能影響網絡內所有用戶,在更早的 5 月,研究人員發現有攻擊者利用 Google Cloud 平台對 D-Link 和其他家用路由器發動 3 波 DNS 騎攻擊。
資料來源:Threat Post