Спецпроекты

В роутерах D-Link найдена критическая «дыра». Производитель не желает ее исправлять

4427
Безопасность Администратору Стратегия безопасности Пользователю Техника

Уязвимость, найденная в сентябре 2019 г., позволяет злоумышленникам запускать произвольный код на устройствах D-Link без авторизации. Вендор не будет выпускать исправления, поскольку уязвимыми оказались исключительно устройства, снятые с поддержки.

Никудышная авторизация

В роутерах D-Link обнаружена критическая уязвимость, позволяющая запускать на них произвольный код удалённо. Несмотря на то, что она получила высшие балы по шкале угроз, выпускать патч производитель роутеров не планирует.

Уязвимость CVE-2019-16920, выявленная в сентябре 2018 г., связана с возможностью инъекции команд без авторизации в программной оболочке устройств. Уязвимость получила 9,8 балла по шкале CVSS v31 и 10,0 по шкале CVSS v20.

«Баг» присутствует в прошивках роутеров D-Link DIR-655, DIR-866L, DIR-652 и DHP-1565.

Проверка авторизации пользователя реализована в этих прошивках очень слабо, так что запуск произвольного кода может производиться любым непривилегированным пользователем.

«Уязвимость начинается с нерабочей проверки авторизации. Чтобы проверить на практике наличие проблемы, мы открываем страницу администратора и осуществляем вход. Затем направляем запрос POST HTTP на apply_sec.cgi с действием ping_test. А дальше мы производим инъекцию команды в ping_ipaddr. Даже если нас возвращает на страницу логина, команда ping_test всё равно выполняется - величина ping_ipaddr исполняет команду «echo 1234» на собственном сервере роутера и возвращает результаты на наш сервер», - говорится в техническом описании Fortinet/FortiGuard.

Патча не будет

D-Link не будет выпускать патч для этой проблемы, поскольку все продукты, её затронутые, уже сняты с производства и технической поддержки. Таким образом, у пользователей есть лишь один способ защититься от угрозы: поменять оборудование на более новое.

D-Link не планирует исправлять критическую уязвимость в своих роутерах, потому что они сняты с поддержки

«Формально D-Link не за что предъявлятть претензии: использование оборудования, снятого с поддержки, - целиком личное дело его владельцев, хотя в исключительных случаях производители иногда всё-таки выпускают исправления и для уже устаревшего оборудования, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Другое дело, что роутеры - это вообще одна из самых проблемных составляющих локальных сетей, и обнаруженные уязвимости это лишний раз подтверждают. Защите маршрутизаторов уделяется меньше всего внимания (при том, что через них проходит весь трафик), да и ошибки в прошивках, в том числе критические, выявляются регулярно. При этом роутеры будут, скорее всего, использоваться до тех пор, пока они сохраняют минимальную работоспособность - или пока не станут явным источником проблем».

По мнению эксперта, в отношении роутеров должна действовать «презумпция подозрительности» и любые обновления должны устанавливаться как можно оперативнее.



Точки роста

По определенным ИТ-направлениям Россия является примером для всего мира

Юрий Гаврилов

CDTO Металлоинвеста

Событие месяца

CNews FORUM 2019 прошел с рекордным успехом

- Более 1,5 тысяч гостей     - 100 экспертных докладов   - 50 инновационных стендов