D-Link 老款路由器被曝多个高危漏洞,未完全修复
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
D-Link 称,在 DIR-865L无线路由器中发现一个严重的命令注入漏洞,可导致用户易受拒绝服务攻击,并督促用户停止使用该产品。
DIR-865L 型号的路由器于2013年首次推出,在2016年2月生命周期完成。2018年8月,D-Link 发布补丁 (1.20B01 beta) 解决了多个漏洞。上周五,Palo Alto Networks 旗下 Unit 42 团队公开披露了6个其它漏洞,其中一个是“严重”级别的漏洞,余下是“高危”级别。
研究人员指出,这款型号的路由器为家庭网络而设计。当前在家办公的趋势增加了家庭网络受攻击的风险,使得更新联网设备显得更为重要。
D-Link 公司还通知客户称,Unit 42 团队找到的缺陷存在于“已到达生命周期/支持周期”的产品中,因此“不会提供更多支持或开发。”尽管如此,该公司确实在2020年5月26日发布了“测试版”补丁 (v1.20B01Beta 01)。
D-Link 公司发布安全公告指出,“DIR-865L 的所有者如在支持周期结束后仍使用它,会面临风险,应当手动更新至最新版本的固件。这些测试版的发布基于对报告的调查和理解以及对可能受影响的整个产品家族的调查。支持周期结束后发布的固件是一个标准的运作程序。”
仅修复3个漏洞
公告指出,D-Link 公司近修复了 Unit 42 团队发现的其中3个漏洞:跨站点脚本漏洞 (CVE-2020-13786)、加密强度不当 (CVE-2020-13785) 和其中一个敏感信息明文存储缺陷 (CVE-2020-13787)。
Unit 42 发现的最严重漏洞是命令注入漏洞 (CVE-2020-13782),“该路由器的 web 接口由后端引擎 cgibi.exe 控制。网页的多数请求被发送至该控制器。如 scandir.sgi请求提出,则恶意行动者能够以管理员权限在路由器上执行任意命令。”
这些管理员权限可通过链接第二个高危漏洞 (CVE-2020-13786) 盗取。该漏洞在5月份修复,可导致攻击者通过管理员的网页窃取活动会话 cookie,而该管理员网页易受跨站点请求伪造攻击。
研究人员曾在 DEF CON 2014 黑客大会上专门提到 D-Link 的 DIR-865L Wireless AC 1750产品。研究人员将其归类为易受某种本地攻击或远程攻击的13款流行的 SOHO 无线路由器。
除了替换硬件或应用补丁外,Unit 42 团队研究人员还建议将路由器配置为“将所有流量默认指向 HTTPS以防御会话劫持攻击”并更改路由器的时区以防御“计算随机生成的会话id”的恶意行动者。
推荐阅读
多款 D-Link 路由器受多个 RCE 漏洞影响
D-Link 路由器被曝远程代码执行漏洞,厂商不打算修复
原文链接
https://threatpost.com/work-from-home-alert-critical-d-link-bug/156573/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
D-Link 老款路由器被曝多个高危漏洞,未完全修复相关推荐
- 移动互联网新协议 GTP 中被曝多个高危漏洞,影响4G和5G 用户
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Positive Technologies 公司上周发布报告<2020年 LTE 和5G 网络中的漏洞>指出,移动网络运营 ...
- 网件(Netgear)路由器被曝严重的DNS漏洞
近日,网件(Netgear)路由器被发现存在严重的DNS漏洞,目前,网件还未修补该已公布的漏洞,该允许攻击者篡改受影响的路由器的DNS设置,会影响其路由器的安全性,预估超过10,000台路由器已经遭受 ...
- Phoenix Contact 多款工业产品被曝多个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 德国工业解决方案提供商 Phoenix Contact 上周通知客户称,公司多款产品中被曝10个漏洞. Phoenix Contact 公 ...
- 思科精睿系列交换机被曝高危漏洞,仅修复部分产品
聚焦源代码安全,网罗国内外最新资讯! 作者:Lindsey O'Donnell 编译:奇安信代码卫士团队 思科 Systems 警告称,超过六款精睿系列交换机受一个高危漏洞影响,可导致远程未认证攻击 ...
- 博览安全圈:360曝Office高危漏洞 微软及时修复
为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件. 1.360曝光Office高危漏洞 微软及时发布安全更新 近日,360称发现了Office的高危漏洞(CVE-2 ...
- 家庭路由器哪家强:固件漏洞多年不修复,更新无济于事
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 德国弗劳恩霍夫通信技术研究所 (FKIE) 研究了7个品牌的127款家庭路由器,旨在分析它们的最新固件版本中是否存在已知的安全漏洞,结 ...
- TP-LINK宽带路由器限速设置和P2P设置方法
随着我国路由行业的发展,宽带路由器的应用也更加的广泛,也推动了路由技术更新升级,这里我讲解了TP-LINK宽带路由器封端口限速设置与P2P的问题,P2P全称peer-to-peer,可定义为:以非集中 ...
- TP-LINK多款路由器被曝存漏洞 或泄露网银密码
当互联网隐私日渐失守,连放在家中的无线路由器,都可能成为黑客入侵电脑的"后门".记者昨天从知情人士处获悉,目前TP-LINK多个型号的路由器被曝存在后门漏洞,黑客可以藉此完全夺得控 ...
- Linksys路由器被曝多个漏洞
2019独角兽企业重金招聘Python工程师标准>>> 导读 思科Talos Intelligence Group的Jared Rittle在Linksys E系列路由器中发现了三个 ...
最新文章
- Hutool,一个贼好用的 Java 工具类库,用过都说好~
- ORA-25155: NATURAL 联接中使用的列不能有限定词
- 苹果手机数据转移到新手机_买了新手机,数据迁移用它轻松搞定
- 等待Ajax结果 再提交表单(ajax同步)
- linux cpu占用率 监控工具 简介
- 仿真环境Mininet的搭建
- 【linux】修改机器时间
- Java集合---HashSet的源码分析
- 根据父类id查询所有的父级_031、组函数和子查询
- 已经没有再谈话再培养的飞秋必要了
- “让数据用起来”:解读数据中台必备的4个核心能力
- platform_device_add()函数分析
- 仿射变换(Affine transformation)与python实践
- 遗传算法MATLAB工具包简介
- 未来计算机作文想象,想象未来作文450字
- R语言绘制校正协变量后的ROC曲线
- easyUi combobox setValue 引起的关于js的坑
- 互联网行业公司岗位与发展方向
- 不带电脑看-吃货联盟集合
- 广州启明星辰的面试经历