آسیبپذیری اجرای کد از راه دور روتر D-Link وصله نمیشود
محققان از وجود آسیبپذیری شدیدی در اجرای کد از راه دور در طیف وسیعی از روترهای D-Link خبر دادهاند.
هفته گذشته، آزمایشگاههای FortiGuard Fortinet اعلام کردند، این آسیبپذیری با شناسه CVE-2019-16920، در سپتامبر 2019 کشف شده است.
به گفته محققان، این آسیبپذیری بر سیستمعامل D-Link در خطوط تولیدات DIR-655 ،DIR-866L ،DIR-652 و DHP-1565 تأثیر میگذارد.
این آسیبپذیری با عنوان RCE ایجاد شده است و توسط مهاجمینی که ورودی خودسرانه به رابط دروازه “PingTest” ارسال میکنند، منجر به صدور فرمان و سازش کامل در سیستم میشود.
Fortinet میگوید مهاجمان به منظور ایجاد نقص امنیتی، می توانند از راه دور اقدام به ورود به سیستم کنند.
محققان امنیتی یافته های خود را در تاریخ 22 سپتامبر در رابطه با D-Link فاش کردند. در عرض 24 ساعت فروشنده سخت افزار، آسیبپذیری را تأیید کرده بود و سه روز بعد، D-Link گفت که از آنجا که این محصولات در End of Life پشتیبانی میشوند، هیچ وصلهای برای آن وجود ندارد.
با توجه به عمر این روترها، جای تعجب ندارد که D-Link وصلهای را برای اصلاح این آسیبپذیری نپذیرد. دستگاهها – و سیستمعامل آنها – همه تاریخ انقضا دارند و در نهایت پشتیبانی از آنها پایان مییابد؛ بنابراین کاربران این روترها باید جایگزینی را برای محصولات قدیمی خود در نظر بگیرند تا خطر سوءاستفاده را کاهش دهند.
با این وجود، هر تصمیم امنیتی D-Link لزوماً می تواند منطقی تلقی شود.
در اخبار مرتبط، اخیراً D-Link با توافق کمیسیون تجارت فدرال ایالات متحده (FTC) موافقت کرد تا اتهامات عدم رسیدگی به گزارشهای آسیبپذیری و عدم نمایش امنیت محصولات خود را پیگیری کند.
طبق این توافقنامه، فروشنده، یک برنامه امنیتی جدید برای روترها و محصولات متصل به اینترنت ایجاد میکند، و برای ده سال آینده نیز وصلههای امنیتی را تولید میکند.
ما برای دریافت توضیحات بیشتر با D-Link ارتباط پیدا کردهایم و در صورت دریافت اطلاعات بیشتر، مطالب را در این باره بهروزرسانی خواهیم کرد.