研究发现,一些D-Link VPN路由器易受三个新的高危漏洞的攻击,这使得数百万的家庭和商业网络即使有强大的密码保护也容易受到网络攻击。
Digital Defense的研究人员发现了这些漏洞,并于8月11日向D-Link披露。如果漏洞被利用,远程攻击者可以通过特制请求在易受攻击的网络设备上执行任意命令,甚至发起拒绝服务攻击。
Link DSR-150、DSR-250、DSR-500和DSR-1000AC以及DSR系列中运行固件版本14和3.17的其他VPN路由器型号易受根命令注入漏洞的远程攻击。
这家台湾网络设备制造商在12月1日的一份咨询报告中证实了这些问题,并补充说,他们正在针对其中两个漏洞开发补丁。目前,这些补丁已发布。
Digital Defense在报告中表示:“从广域网和局域网接口来看,这些漏洞可以在网上被利用。因此,未经身份验证的远程攻击者可以通过访问路由器web界面,作为根用户执行任意命令,从而有效地获得对路由器的完全控制。”
易受攻击的组件“Lua-CGI”可以在不经过身份验证的情况下访问,并且缺少服务器端过滤,从而使得攻击者(无论是否经过身份验证)都有可能注入将以根用户权限执行的恶意命令。
Digital Defense报告的另一个漏洞涉及修改路由器配置文件,以根用户身份注入恶意CRON条目并执行任意命令。
然而,D-Link表示,它不会“在这一代产品上”修复这一漏洞,并表示这是预期的功能。
Digital defence警告说,由于COVID-19的流行,在家工作的人数空前增加,可能会有更多的员工使用受影响的设备连接到企业网络。
随着远程工作的增加,VPN中的漏洞成为攻击者进入企业内部网络的目标。
建议使用受影响产品的企业进行相关更新。