D-Link өнімдерінде RCE-осалдық түзетілмейді

Ағымдағы жылдың қыркүйек айында Fortinet мамандары бірқатар D-Link маршрутизаторларынан қашықтағы кодты (CVE-2019-16920) орындауға әкелетін елеулі осалдықты тапты. Қателік CVSS v3.1 шкаласы бойынша 9,8 балл және CVSS v2.0. шкаласы бойынша 10 балл алды.

Мамандардың айтуынша, проблема DIR-655, DIR-866L, DIR-652 және DHP-1565 сызықтағыбағдарламалық жасақтаманы қозғайды және командалардың аутентификацияланбаған инъекциясына жол береді. Қателікті пайдалану үшін зиянкестер «нашар» аутентификациямен жүйеге кіруді қасақана орындай алады. Істің мәні мұнда қате аутентификацияны тексеру кезінде, пайдаланушының оған құқығы бар ма, жоқ па, код бәрібір оған қарамастан орындалады. Нәтижесінде PingTest арқылы HTTP POST жай сұрау жіберу шабуылшыға немесе әкімшінің есесптік деректерін алуға немесе бэкдор орнатуға мүмкіндік береді.

Зерттеушілер D-Link мамандарына қыркүйек айының соңында проблема туралы айты, және компанияда осалдықтың бар екенін бірден мойындады, үш күннен кейін өндіруші осал өнімдерді қолдау баяғыда тоқтатылуына байланысты қателік үшін түзетулер болмайды деп хабарлады. Сондықтан енді осал маршрутизаторларды пайдаланушыларға қауіп-қатерлерді төмендету үшін ескірген өнімдерді ауыстыру туралы ойлауды ұсынады.

Ақпарат көзі: https://xakep.ru/2019/10/09/d-link-rce/