D-Link路由器远程代码执行漏洞并且不会被修补

研究人员公开披露了一系列D-Link路由器中存在严重的远程执行代码漏洞。

上周，Fortinet的FortiGuard Labs 表示，该问题的核心漏洞（CVE-2019-16920）于2019年9月被发现。

根据Fortinet研究人员Thanh Nguyen Nguyen的说法，未经身份验证的命令注入漏洞会影响DIR-655，DIR-866L，DIR-652和DHP-1565产品系列中的D-Link固件。

该漏洞被描述为RCE，攻击者将任意输入发送到“ PingTest”网关接口，从而导致命令注入和整个系统受损。已向该严重错误发布CVSS v3.1基本分数9.8和CVSS v2.0基本分数10.0。

为了触发安全漏洞，Fortinet说攻击者可以远程执行未经身份验证的登录操作。

错误的身份验证检查将允许代码执行用户是否具有执行权限的权限，以便通过PingTest发送POST HTTP请求，并让攻击者获取管理员凭据或安装后门。

9月22日，安全研究人员向d-link披露了他们的发现。24小时内，硬件供应商确认了该漏洞，三天后，d-link表示，由于产品处于生命周期结束（eol）支持状态，因此不会发布任何补丁。

考虑到这些路由器的使用年限，D-Link选择不发布修补程序也就不足为奇了。我们的设备及其固件都具有到期日期，并且最终支持也将终止，因此，这些路由器的用户应考虑更换其过时的产品，以降低被利用的风险。

但是，并非D-Link曾经做出的每个与安全相关的决定都可以认为是合理的。

在相关新闻中，D-Link最近同意与美国联邦贸易委员会（FTC）达成和解，以平息有关未能处理漏洞报告和错误陈述其产品安全性的指控。

作为协议的一部分，供应商将为路由器和与Internet连接的产品创建一个新的安全计划，并将在未来十年内接受安全审核。

文章来源：zDnet