Спецпроекты

В роутерах D-Link найдена критическая «дыра». Производитель не желает ее исправлять

4458
Безопасность Администратору Стратегия безопасности Пользователю Техника

Уязвимость, найденная в сентябре 2019 г., позволяет злоумышленникам запускать произвольный код на устройствах D-Link без авторизации. Вендор не будет выпускать исправления, поскольку уязвимыми оказались исключительно устройства, снятые с поддержки.

Никудышная авторизация

В роутерах D-Link обнаружена критическая уязвимость, позволяющая запускать на них произвольный код удалённо. Несмотря на то, что она получила высшие балы по шкале угроз, выпускать патч производитель роутеров не планирует.

Уязвимость CVE-2019-16920, выявленная в сентябре 2018 г., связана с возможностью инъекции команд без авторизации в программной оболочке устройств. Уязвимость получила 9,8 балла по шкале CVSS v31 и 10,0 по шкале CVSS v20.

«Баг» присутствует в прошивках роутеров D-Link DIR-655, DIR-866L, DIR-652 и DHP-1565.

Проверка авторизации пользователя реализована в этих прошивках очень слабо, так что запуск произвольного кода может производиться любым непривилегированным пользователем.

«Уязвимость начинается с нерабочей проверки авторизации. Чтобы проверить на практике наличие проблемы, мы открываем страницу администратора и осуществляем вход. Затем направляем запрос POST HTTP на apply_sec.cgi с действием ping_test. А дальше мы производим инъекцию команды в ping_ipaddr. Даже если нас возвращает на страницу логина, команда ping_test всё равно выполняется - величина ping_ipaddr исполняет команду «echo 1234» на собственном сервере роутера и возвращает результаты на наш сервер», - говорится в техническом описании Fortinet/FortiGuard.

Патча не будет

D-Link не будет выпускать патч для этой проблемы, поскольку все продукты, её затронутые, уже сняты с производства и технической поддержки. Таким образом, у пользователей есть лишь один способ защититься от угрозы: поменять оборудование на более новое.

D-Link не планирует исправлять критическую уязвимость в своих роутерах, потому что они сняты с поддержки

«Формально D-Link не за что предъявлятть претензии: использование оборудования, снятого с поддержки, - целиком личное дело его владельцев, хотя в исключительных случаях производители иногда всё-таки выпускают исправления и для уже устаревшего оборудования, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Другое дело, что роутеры - это вообще одна из самых проблемных составляющих локальных сетей, и обнаруженные уязвимости это лишний раз подтверждают. Защите маршрутизаторов уделяется меньше всего внимания (при том, что через них проходит весь трафик), да и ошибки в прошивках, в том числе критические, выявляются регулярно. При этом роутеры будут, скорее всего, использоваться до тех пор, пока они сохраняют минимальную работоспособность - или пока не станут явным источником проблем».

По мнению эксперта, в отношении роутеров должна действовать «презумпция подозрительности» и любые обновления должны устанавливаться как можно оперативнее.



Стратегия месяца

LegalTech грозит заменить юристов

Средства искусственного интеллекта все чаще используются для обработки обращений за юридической помощью.

Технология месяца

Какие трудности ждут сети 5G на предприятиях

Необходимо решить ряд вопросов,  в первую очередь — с обеспечением безопасности.