D-Link 路由器容易受到可远程利用的根命令注入漏洞的攻击

数字防御漏洞研究小组发现了一个以前未披露的,影响D-Link VPN路由器的漏洞。运行固件版本3.14和3.17的D-Link DSR-150,DSR-250,DSR-500和DSR-1000AC VPN路由器容易受到可远程利用的根命令注入漏洞的攻击。

 D-Link 路由器漏洞

这些设备通常可在消费者网站/电子商务网站上使用,例如亚马逊,百思买,Office Depot和沃尔玛。由于大流行导致在家工作的数量增加,因此可能会有更多员工使用其中一种受影响的设备连接到公司网络。

无需身份验证即可访问

这些设备的易受攻击组件无需身份验证即可访问。从WAN和LAN接口,可以通过Internet利用此漏洞。因此,具有访问路由器Web界面访问权限的未经身份验证的远程攻击者可以以root用户身份执行任意命令,从而有效地获得对路由器的完全控制。

利用此访问权限,攻击者可以拦截和/或修改流量,导致拒绝服务条件,并对其他资产发起进一步的攻击。 D-Link 路由器最多可以同时连接15个其他设备。

有可用更新

“我们的标准做法是与组织合作,共同协调披露工作,以促进迅速解决漏洞。 Digital Defence VRT向 D-Link 在补丁上勤奋工作的人。

“我们将继续与客户进行联系,以确保他们知道并能够采取措施减轻该漏洞带来的任何潜在风险。” 迈克·科顿 ,工程高级副总裁 数字防御 .

D-Link 的 咨询 提供有关应发布的已发布更新的更多详细信息。

分享这个