Hlavní navigace

Routery D-Link obsahují vážnou vzdálenou zranitelnost, která nebude opravena

8. 10. 2019

Sdílet

D-Link

Odborníci z FortiGuard Labs zveřejnili detaily o vážné zranitelnosti některých modelů routerů D-Link, která umožňuje vzdálené spuštění kódu. Dostala označení CVE-2019–16920 a vzhledem k možnosti zneužití po síti dostala velmi vysoké skóre 9,8 respektive 10,0.

Chyba se nachází ve firmware routerů D-Link DIR-655, DIR-866L, DIR-652 a DHP-1565. Kvůli špatně implementované autentizaci je možné zaútočit i bez znalosti jakýchkoliv přihlašovacích údajů. Na objekt apply_sec.cgi stačí poslat požadavek POST HTTP s akcí ping_test. Přestože router vrátí přihlašovací obrazovku, zároveň spustí na pozadí požadovaný ping test. Horší je, že navíc spustí kód v proměnné ping_ipaddr a útočník má vyhráno.

Nejsmutnější na celém případu ale je, že výrobce na oznámení reagoval prohlášením, že ani takto vážnou zranitelnost nehodlá opravovat. Zmíněným modelům routerů totiž už skončila podpora. Jde o routery staré přibližně deset let.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.