آسیب‌پذیری اجرای کد از راه دور روتر D-Link وصله نمی‌شود

محققان از وجود آسیب‌پذیری شدیدی در اجرای کد‌ از راه دور در طیف وسیعی از روترهای D-Link خبر داده‌اند.

هفته گذشته، آزمایشگاه‌های FortiGuard Fortinet اعلام کردند، این آسیب‌پذیری با شناسه CVE-2019-16920، در سپتامبر 2019 کشف شده است.

به گفته محققان، این آسیب‌پذیری بر سیستم‌عامل D-Link در خطوط تولیدات DIR-655 ،DIR-866L ،DIR-652 و DHP-1565 تأثیر می‌گذارد.

این آسیب‌پذیری با عنوان RCE ایجاد شده است و توسط مهاجمینی که ورودی خودسرانه به رابط دروازه “PingTest” ارسال می‌کنند، منجر به صدور فرمان و سازش کامل در سیستم می‌شود.

Fortinet می‌گوید مهاجمان به منظور ایجاد نقص امنیتی، می توانند از راه دور اقدام به ورود به سیستم کنند.

محققان امنیتی یافته های خود را در تاریخ 22 سپتامبر در رابطه با D-Link فاش کردند. در عرض 24 ساعت فروشنده سخت افزار، آسیب‌پذیری را تأیید کرده بود و سه روز بعد، D-Link گفت که از آنجا که این محصولات در End of Life پشتیبانی می‌شوند، هیچ وصله‌ای برای آن وجود ندارد.

با توجه به عمر این روترها، جای تعجب ندارد که D-Link وصله‌ای را برای اصلاح این آسیب‌پذیری نپذیرد. دستگاه‌ها – و سیستم‌عامل آنها – همه تاریخ انقضا دارند و در نهایت پشتیبانی از آنها پایان می‌یابد؛ بنابراین کاربران این روترها باید جایگزینی را برای محصولات قدیمی خود در نظر بگیرند تا خطر سوءاستفاده را کاهش دهند.

با این وجود، هر تصمیم امنیتی D-Link لزوماً می تواند منطقی تلقی شود.

در اخبار مرتبط، اخیراً D-Link با توافق کمیسیون تجارت فدرال ایالات متحده (FTC) موافقت کرد تا اتهامات عدم رسیدگی به گزارش‌های آسیب‌پذیری و عدم نمایش امنیت محصولات خود را پیگیری کند.

طبق این توافقنامه، فروشنده، یک برنامه امنیتی جدید برای روترها و محصولات متصل به اینترنت ایجاد می‌کند، و برای ده سال آینده نیز وصله‌های امنیتی را تولید می‌کند.

ما برای دریافت توضیحات بیشتر با D-Link ارتباط پیدا کرده‌ایم و در صورت دریافت اطلاعات بیشتر، مطالب را در این باره به‌روزرسانی خواهیم کرد.