产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
研究人员公开披露了一系列d-link路由器中存在严重的远程执行代码漏洞。
上周,fortinet的fortiguard labs 表示,该问题的核心漏洞(cve-2019-16920)于2019年9月被发现。
根据fortinet研究人员thanh nguyen nguyen的说法,未经身份验证的命令注入漏洞会影响dir-655,dir-866l,dir-652和dhp-1565产品系列中的d-link固件。
该漏洞被描述为rce,攻击者将任意输入发送到“ pingtest”网关接口,从而导致命令注入和整个系统受损。已向该严重错误发布cvss v3.1基本分数9.8和cvss v2.0基本分数10.0。
为了触发安全漏洞,fortinet说攻击者可以远程执行未经身份验证的登录操作。
错误的身份验证检查将允许代码执行用户是否具有执行权限的权限,以便通过pingtest发送post http请求,并让攻击者获取管理员凭据或安装后门。
9月22日,安全研究人员向d-link披露了他们的发现。24小时内,硬件供应商确认了该漏洞,三天后,d-link表示,由于产品处于生命周期结束(eol)支持状态,因此不会发布任何补丁。
考虑到这些路由器的使用年限,d-link选择不发布修补程序也就不足为奇了。我们的设备及其固件都具有到期日期,并且最终支持也将终止,因此,这些路由器的用户应考虑更换其过时的产品,以降低被利用的风险。
但是,并非d-link曾经做出的每个与安全相关的决定都可以认为是合理的。
在相关新闻中,d-link最近同意与美国联邦贸易委员会(ftc)达成和解,以平息有关未能处理漏洞报告和错误陈述其产品安全性的指控。
作为协议的一部分,供应商将为路由器和与internet连接的产品创建一个新的安全计划,并将在未来十年内接受安全审核。
试用申请
