在發現嚴重的遠端程式碼執行 (RCE) 漏洞後,D-Link 強烈建議其舊款 VPN 路由器使用者更換裝置。 由於這些型號的路由器已達到其使用壽命和終止支援的日期,因此不會再對其打補丁以防範該漏洞。
安全研究人員"delsploit"向D-Link報告了該漏洞,但尚未分配CVE識別符號。 該漏洞的技術細節也未披露,因此客戶有時間在網路犯罪分子開始嘗試利用該漏洞之前做出反應。 我們知道這是一個堆疊緩衝區溢位漏洞,允許未經認證的使用者執行遠端程式碼執行。
以下裝置的所有硬體版本和韌體版本都受到了影響:
DSR-150 (2024 年 5 月到期)
DSR-150N(2024 年 5 月到期)
DSR-250(2024 年 5 月退出市場)
DSR-250N(2024 年 5 月退出市場)
DSR-500N(2015 年 9 月退出市場)
DSR-1000N(2015 年 10 月停用)
D-Link 強調,它將不會為四個受影響的型號釋出補丁,因為它們都已達到 EOL 或 EOS 狀態,也就是產品處於結束支援的期限之後,其中大多數是在 2024 年 5 月,還有幾個是在 2015 年。 該公司寫道,公司的一般政策是,當產品達到 EOS/EOL 時,將不再對其提供支援,並且停止對這些產品的所有韌體開發。
D-Link 強烈建議這些路由器的所有者升級到較新的型號,因為繼續使用可能會對與其連線的裝置造成危險。
D-Link DSR 150 路由器
該公司正試圖安撫那些可能對此感到惱火的使用者,為不受漏洞影響的新服務路由器(DSR-250v2)提供 20% 的折扣。
D-Link 還指出,雖然第三方開放韌體可用於許多受影響的裝置,但使用這些韌體會導致保修失效,裝置所有者應自行承擔責任。
這是 D-Link 在一個月內第二次確認不會為已達到報廢/服務終止狀態的高危裝置打補丁。 這家臺灣公司建議其已停產的 NAS 裝置的所有者升級到較新的型號,因為這些裝置不會打補丁以防止關鍵命令注入漏洞。
2022 年,網路安全& 基礎設施安全域性(CISA)建議消費者更換存在 RCE 漏洞的 D-Link 路由器,因為這些裝置已達到使用壽命,將不再收到補丁。
