零時差漏洞令D-Link路由器可被遙距接管

D-Link VPN 路由器的韌體被發現存在嚴重安全漏洞,由於供應商沒有完整地修復,可引致客戶因為零時差攻擊,最終路由器隨時被黑客從遠距離取得裝置的完全控制權。

涉事型號及韌體版本
根據外媒報導,受影響的 D-Link 路由器型號包括 DSR-150、DSR-250、DSR-500 和 DSR-1000AC VPN 上執行韌體版本 3.14 和 3.17,研究人員發現攻擊由於 3 個連鎖的臭蟲所引致,包括未經授權的遙距 LAN/WAN root 指令插入的漏洞、授權的 root 感染漏洞和授權的 crontab 插入。

有關的漏洞已經獲得 D-Link 確認,分別是 CVE-2020-25757、CVE-2020-25758 和 CVE-2020-25759,公司表示通過 beta firmware 補丁和 hot-patch 可令 DSR-150、DSR-250 和 DSR-500 顯著減低攻擊者針對相關型號的能力。D-link 表示其中兩個漏洞已經確定,並正在開發補丁,而具中一個報導中提及的漏洞,屬於裝置的運作功能,所以不會在此代產品中進行修正,受影響人士可以瀏覽 D-Link 的支援網頁

在家工作潮增加路由器風險
路由器是家居網絡最常用和最易買到的裝置,這意味著被肺炎影響而在家遙距工作的人,家中網絡環境會直接影響公司網絡的安全。最重要的漏洞是任由沒有授權就能使用 LAN/WAN 連線互聯網,讓未經授權的攻擊者,能夠遙距存取路由器的界面和和在 root 執行指令,很容易便取得路由器的控制權。

家用路由器多存漏洞
根據 D-Link,兩個漏洞的最終補丁正在開發,將會在 12 月中推出,用戶應該從速查看自己的產品是否受影響型響。而因為 Work From Home 的關係,員工家中的網絡安全大大影響到公司,IT 管理員在考慮公司的網絡安全時,需要因應現實情況而作出額外的考慮。然而在今年較早前的報導中提到,大部份家用路由器都存在不同的已知安全漏洞,有時甚至有數百個漏洞存在,做成極大的保安缺口,如果在家工作的話就更加危險。

資料來源:Threat Post