Россияне в большой опасности. Знаменитый производитель годами продавал «дырявые» роутеры. Теперь отказывается их чинить и требует купить новые
D-Link отказалась латать уязвимость в целой коллекции своих роутеров, сославшись на прекращение их поддержки. Все он продавались в России, а некоторые можно купить до сих пор. Защититься можно лишь путем покупки нового маршрутизатора, притом американцам D-Link предоставляет солидную скидку на него, а россиянам – нет.
Купи роутер и жди хакеров
Компания D-Link, известный в России и мире производитель телеком-оборудования, наотрез отказалась устранять уязвимость в своих роутерах DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N и DSR-1000N. Как пишет портал Tom’s Hardware, проблема критическая – она позволяет удаленно запускать произвольный код из-за «дыры», приводящей к переполнению буфера.
Все перечисленные роутеры, как убедилась редакция CNews, в свое время продавались на территории России. Некоторые из них до сих пор присутствуют в легальной рознице.
D-Link пока что не поделилась точными подробностями новой угрозы, возможно, чтобы защитить пользователей от потенциальных хакеров.
Тем не менее, это открывает ящик Пандоры возможных угроз, включая, помимо прочего, кражу данных, установку вредоносного и шпионского ПО, а также DoS-атаки.
Есть некоторые подозрения
В то же время причину, по которой D-Link не желает чинить свое «железо» и ставит пользователей под угрозу взлома, компания опубликовала. Производство всех перечисленных устройств уже прекращено, притом некоторых из них – много лет назад.
D-Link опубликовала на своем сайте отдельную заметку, посвященную проблеме, в которой перечислила все опаcные модели роутеров и сроки прекращения их технической поддержки. Исходя из этих данных, становится ясно, что устройства получили широкое распространение в мире. При этом, даже несмотря на то, что эти маршрутизаторы давно признаны самой D-Link устаревшими новые прошивки для них, по всей видимости, все же выходят.
На это, в теории, может указывать последний столбец в таблице. Четыре роутера из шести получили апдейты 18 ноября 2024 г., а два оставшихся – днем позже.
Также для многих моделей существуют неофициальные прошивки, которые тоже обновляются. D-Link отдельно уточнила, что установка подобного ПО ведет к потере гарантии.
Россияне под ударом
Модели маршрутизаторов DSR-150, DSR-150N, DSR-250 и DSR-250N были сняты с производства лишь в мае 2024 г., тогда как DSR-500N и DSR-1000N не выпускаются с сентября 2015 г. соответственно.
Редакция CNews обнаружила роутер DSR-250N в продаже на одном из крупнейших маркетплейсов – за него просят более 22 тыс. руб. Также многие перечисленные модели ранее продавались в офлайн-рознице – к примеру, их можно было приобрести в сети магазинов DNS.
D-Link не приводит объемы проданных в России дефектных роутеров. Всем их владельцам она предлагает купить им на замену новые современные устройства, поддержка которых еще не прекращена.
Россиянам, а также жителям почти всех других стран, где D-Link реализует свою продукцию, компания предлагает купить новые маршрутизаторы за их полную стоимость. И только с США она готова сделать покупателям 20-процентную скидку на новую модель DSR-250v2.
Стандартная практика
Многие производители сетевого оборудования отказываются латать «дыры» в своем «железе» и подвергают пользователей риску взлома, а в качестве единственного решения предлагают просто купить новую модель нужного им оборудования. В подобном замечена, например, Cisco, но D-Link выделяется на ее фоне тем, что это уже второй ее подобный отказ за последние две недели.
В середине ноября 2024 г. CNews писал о решении D-Link не устранять огромную критическую брешь CVE-2024-10914 в своих сетевых хранилищах DNS-320, DNS-320LW, DNS-325 и DNS-340L с прошивкой до версии 20241028. Проблема затронула около 60 тыс. устройств по всему миру.
Причина, как и решение, все те же – прекращение поддержки и покупка актуальных аналогов, в которых «дыры» если и есть, то устраняются. По крайней мере, пока не истек их срок технической поддержки.
«Сетевое оборудование по умолчанию должно быть безопасным. И когда использование продукта несет риски данным пользователя, производители обычно прикладывают максимум усилий, чтобы как можно быстрее выпустить патч безопасности или предлагают пользователям варианты, как решить проблему. – сказал CNews Евгений Перов, директор по продукту в корпоративном мессенджере Compass. – Учитывая, что уязвимые модели уже не производятся и официально не поддерживаются, клиенты вряд ли смогут предъявить производителю обоснованные претензии. Однако большинство пользователей роутеров не читают новостей о безопасности и не знают об уязвимости их оборудования и потенциальной опасности для чувствительной информации. Компании стоило как минимум оповестить людей о возникшей ситуации и предложить варианты решения проблемы. Политика "просто купите новое" скорее ударит по имиджу производителю, чем принесет какие-то выгоды».