Η D-Link προειδοποιεί τους πελάτες να αντικαταστήσουν μοντέλα δρομολογητών VPN στο τέλος της ζωής τους, αφού ανακαλύφθηκε μια σημαντική ευπάθεια χωρίς έλεγχο ταυτότητας, απομακρυσμένης εκτέλεσης κώδικα που δεν θα επιδιορθωθεί σε αυτές τις συσκευές.
Το ελάττωμα ανακαλύφθηκε και αναφέρθηκε στην D-Link από τον ερευνητή ασφαλείας «delsploit», αλλά οι τεχνικές λεπτομέρειες αποκρύπτονται από το κοινό για να αποφευχθεί η πρόκληση απόπειρες μαζικής εκμετάλλευσης στη φύση.
Η ευπάθεια, η οποία δεν έχει ακόμη εκχωρημένο CVE, επηρεάζει όλες τις αναθεωρήσεις υλικού και υλικολογισμικού των DSR-150 και DSR-150N, καθώς και των DSR-250 και DSR-250N από το υλικολογισμικό 3.13 έως το 3.17B901C.
Αυτοί οι δρομολογητές VPN, δημοφιλείς στο οικιακό γραφείο και τις μικρές επιχειρήσεις, πωλήθηκαν διεθνώς και έφτασαν στο τέλος της υπηρεσίας τους την 1η Μαΐου 2024.
Η D-Link έχει καταστήσει σαφές στην προειδοποίηση ότι δεν θα κυκλοφορήσει μια ενημέρωση ασφαλείας για τα τέσσερα μοντέλα, συνιστώντας στους πελάτες να αντικαταστήσουν συσκευές το συντομότερο δυνατό.
“Το DSR-150 / DSR-150N / DSR-250 / DSR-250N όλες οι εκδόσεις υλικού και οι εκδόσεις υλικολογισμικού ήταν EOL/EOS από την 01/05/2024. Αυτή η εκμετάλλευση επηρεάζει αυτόν τον δρομολογητή D-Link παλαιού τύπου και όλες τις αναθεωρήσεις υλικού, που έχουν φτάσει στο τέλος της ζωής τους […]. Τα προϊόντα που έχουν φτάσει στο EOL/EOS τους δεν λαμβάνουν πλέον ενημερώσεις λογισμικού συσκευών και ενημερώσεις κώδικα ασφαλείας και δεν υποστηρίζονται πλέον από την D-Link US.” – D-Link
Ο πωλητής σημειώνει επίσης ότι μπορεί να υπάρχει ανοιχτό υλικολογισμικό τρίτων για αυτές τις συσκευές, αλλά αυτή είναι μια πρακτική που δεν υποστηρίζεται ή συνιστάται επίσημα και η χρήση τέτοιου λογισμικού ακυρώνει κάθε εγγύηση που καλύπτει το προϊόν.
“Η D-Link συνιστά ανεπιφύλακτα την απόσυρση αυτού του προϊόντος και προειδοποιεί ότι οποιαδήποτε περαιτέρω χρήση αυτού του προϊόντος μπορεί να αποτελεί κίνδυνο για τις συσκευές που είναι συνδεδεμένες σε αυτό.” διαβάζει το δελτίο.
“Εάν οι καταναλωτές των ΗΠΑ συνεχίσουν να χρησιμοποιούν αυτές τις συσκευές κατά της σύστασης της D-Link, βεβαιωθείτε ότι η συσκευή διαθέτει το τελευταίο γνωστό υλικολογισμικό που μπορεί να εντοπιστεί στον ιστότοπο παλαιού τύπου.”
Οι χρήστες μπορούν να κάνουν λήψη του πιο πρόσφατου υλικολογισμικού για αυτές τις συσκευές από εδώ:
Θα πρέπει να σημειωθεί ότι ακόμη και η χρήση της πιο πρόσφατης διαθέσιμης έκδοσης υλικολογισμικού δεν προστατεύει τη συσκευή από το ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που ανακαλύφθηκε από το delsploit και δεν θα κυκλοφορήσει επίσημα καμία ενημέρωση κώδικα για αυτήν.
Η απόκριση του D-Link ευθυγραμμίζεται με τη στρατηγική του προμηθευτή υλικού δικτύου να μην κάνει εξαιρέσεις για συσκευές EoL όταν ανακαλύπτονται κρίσιμα ελαττώματα, ανεξάρτητα από το πόσοι άνθρωποι εξακολουθούν να χρησιμοποιούν αυτές τις συσκευές.
“Κατά καιρούς, η D-Link θα αποφασίζει ότι ορισμένα από τα προϊόντα της έχουν φτάσει στο Τέλος Υποστήριξης (“EOS”) / Τέλος Ζωής (“EOL”)”, εξηγεί η D-Link.
“Η D-Link μπορεί να επιλέξει να EOS/EOL ένα προϊόν λόγω της εξέλιξης της τεχνολογίας, των απαιτήσεων της αγοράς, των νέων καινοτομιών, της αποδοτικότητας του προϊόντος που βασίζεται σε νέες τεχνολογίες ή το προϊόν ωριμάζει με την πάροδο του χρόνου και θα πρέπει να αντικατασταθεί από λειτουργικά ανώτερη τεχνολογία.”
Νωρίτερα αυτό το μήνα, ο ερευνητής ασφαλείας «Netsecfish» αποκάλυψε λεπτομέρειες σχετικά με το CVE-2024-10914, ένα κρίσιμο σφάλμα έγχυσης εντολών που επηρεάζει χιλιάδες συσκευές EoL D-Link NAS.
Ο πωλητής εξέδωσε μια προειδοποίηση αλλά όχι μια ενημέρωση ασφαλείας και την περασμένη εβδομάδα, η υπηρεσία παρακολούθησης απειλών The Shadowserver Foundation ανέφερε ότι είδε ενεργές προσπάθειες εκμετάλλευσης.
Επίσης την περασμένη εβδομάδα, ο ερευνητής ασφαλείας Chaio-Lin Yu (Steven Meow) και το κέντρο υπολογιστών και απόκρισης της Ταϊβάν (TWCERTCC) αποκάλυψαν τρία επικίνδυνα τρωτά σημεία, τα CVE-2024-11068, CVE-2024-11067 και CVE-2024-11066, που επηρεάζουν το Eo Μόντεμ D-Link DSL6740C.
Παρά τις σαρώσεις στο Διαδίκτυο που επέστρεψαν δεκάδες χιλιάδες εκτεθειμένα τελικά σημεία, η D-Link αποφάσισε να μην αντιμετωπίσει τον κίνδυνο.
VIA: bleepingcomputer.com
