在d-Link的VPN路由器中发现了一个以前未披露的漏洞,该漏洞可能允许攻击者完全控制受影响的设备。威胁管理公司Digital Defense的漏洞研究小组(VRT)在D-Link的DSR-150、DSR-250、DSR-250、DSR-500和DSR-1000AC VPN路由器中发现了根命令注入漏洞。
运行固件版本3.14和3.17的设备容易受到潜在的攻击,而D-Link的VPN路由器通常在许多热门的电子商务网站(如亚马逊百思买、Office Depot和沃尔玛)上都有,这使得情况变得更糟。
在疫情期间,随着越来越多的员工在家工作,一些员工可能会使用受影响的设备连接到公司网络,这也可能会给组织带来风险。
D-Link VPN路由器中易受攻击的组件无需认证就可以从WAN和LAN接口访问,甚至可以通过互联网利用该漏洞。
此外,能够访问路由器Web界面的未经验证的远程攻击者可以以根用户身份执行任意命令,从而有效地让他们完全控制路由器。通过这种访问,攻击者可以拦截或修改流量,造成拒绝服务条件,并对其他资产发动进一步的攻击,因为D-Link路由器可以同时连接多达15台设备。
Digital Defense的工程高级副总裁迈克科顿(Mike Cotton)在新闻稿中解释了该公司如何负责任地披露D-Link的漏洞。他说:
“我们的标准做法是与组织合作,协调披露工作,以促进漏洞的快速解决。VRT数字防务公司与D-Link公司保持联系,D-Link公司致力于修补工作。我们将继续联系客户,以确保他们了解并能够采取措施来减轻该漏洞导致的任何潜在风险。”
D-Link现已修复该漏洞,并为所有受影响的路由器发布了更新的固件。用户可以查看关于此问题的公司咨询以了解更多信息,并强烈建议他们下载并安装设备的更新固件。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 puzdycom@126.com 举报,一经查实,本站将立刻删除。
