В роутерах D-Link найдена критическая «дыра». Производитель не желает ее исправлять
Уязвимость, найденная в сентябре 2019 г., позволяет злоумышленникам запускать произвольный код на устройствах D-Link без авторизации. Вендор не будет выпускать исправления, поскольку уязвимыми оказались исключительно устройства, снятые с поддержки.
Никудышная авторизация
В роутерах D-Link обнаружена критическая уязвимость, позволяющая запускать на них произвольный код удалённо. Несмотря на то, что она получила высшие балы по шкале угроз, выпускать патч производитель роутеров не планирует.
Уязвимость CVE-2019-16920, выявленная в сентябре 2018 г., связана с возможностью инъекции команд без авторизации в программной оболочке устройств. Уязвимость получила 9,8 балла по шкале CVSS v31 и 10,0 по шкале CVSS v20.
«Баг» присутствует в прошивках роутеров D-Link DIR-655, DIR-866L, DIR-652 и DHP-1565.
Проверка авторизации пользователя реализована в этих прошивках очень слабо, так что запуск произвольного кода может производиться любым непривилегированным пользователем.
«Уязвимость начинается с нерабочей проверки авторизации. Чтобы проверить на практике наличие проблемы, мы открываем страницу администратора и осуществляем вход. Затем направляем запрос POST HTTP на apply_sec.cgi с действием ping_test. А дальше мы производим инъекцию команды в ping_ipaddr. Даже если нас возвращает на страницу логина, команда ping_test всё равно выполняется - величина ping_ipaddr исполняет команду «echo 1234» на собственном сервере роутера и возвращает результаты на наш сервер», - говорится в техническом описании Fortinet/FortiGuard.
Патча не будет
D-Link не будет выпускать патч для этой проблемы, поскольку все продукты, её затронутые, уже сняты с производства и технической поддержки. Таким образом, у пользователей есть лишь один способ защититься от угрозы: поменять оборудование на более новое.
«Формально D-Link не за что предъявлятть претензии: использование оборудования, снятого с поддержки, - целиком личное дело его владельцев, хотя в исключительных случаях производители иногда всё-таки выпускают исправления и для уже устаревшего оборудования, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Другое дело, что роутеры - это вообще одна из самых проблемных составляющих локальных сетей, и обнаруженные уязвимости это лишний раз подтверждают. Защите маршрутизаторов уделяется меньше всего внимания (при том, что через них проходит весь трафик), да и ошибки в прошивках, в том числе критические, выявляются регулярно. При этом роутеры будут, скорее всего, использоваться до тех пор, пока они сохраняют минимальную работоспособность - или пока не станут явным источником проблем».
По мнению эксперта, в отношении роутеров должна действовать «презумпция подозрительности» и любые обновления должны устанавливаться как можно оперативнее.