D-Link, bu cihazlara sabitlenmeyecek kritik bir kimlik doğrulanmamış, uzaktan kod yürütme güvenlik açığı bulunduktan sonra müşterilerin ömrünün sonu VPN yönlendirici modellerini değiştirmeleri konusunda uyarıyor.
Kusur keşfedildi ve güvenlik araştırmacısı 'Delsploit' tarafından D-Link'e bildirildi, ancak vahşi doğada kitlesel sömürü girişimlerini tetiklemekten kaçınmak için teknik detaylar halka saklandı.
Henüz atanmış bir CVE'si olmayan güvenlik açığı, DSR-150 ve DSR-150N'nin tüm donanım ve ürün yazılımı revizyonlarını ve ayrıca 3.13 ila 3.17B901C ürün yazılımından DSR-250 ve DSR-250N'yi etkiler.
Ev ofisinde ve küçük işletme ortamlarında popüler olan bu VPN yönlendiricileri uluslararası olarak satıldı ve 1 Mayıs 2024'te hizmet sonlarına ulaştı.
D-Link, danışmanda, dört model için bir güvenlik güncellemesi yayınlamayacaklarını ve müşterilerin cihazları mümkün olan en kısa sürede değiştirmesini önerdiğini açıkça belirtti.
Satıcı ayrıca, bu cihazlar için üçüncü taraf açık firmaların var olabileceğini de not eder, ancak bu resmi olarak desteklenmeyen veya önerilmeyen bir uygulamadır ve bu yazılım kullanılması ürünü kapsayan herhangi bir garantiyi geçersiz kılar.
Bülten, "D-Link, bu ürünün emekli olmasını şiddetle tavsiye ediyor ve bu ürünün daha fazla kullanılmasının kendisine bağlı cihazlar için bir risk olabileceğine dikkat ediyor."
"Biz tüketiciler bu cihazları D-Link'in tavsiyesine göre kullanmaya devam ederse, lütfen cihazın Legacy web sitesinde bulunabilecek son bilinen ürün yazılımına sahip olduğundan emin olun."
Kullanıcılar bu cihazlar için en güncel ürün yazılımını buradan indirebilir:
Mevcut en son ürün yazılımı sürümünü kullanmanın bile, cihazı Delsploit tarafından keşfedilen uzaktan kod yürütme kusurundan korumadığı ve bunun için resmi olarak yayınlanmayacağına dikkat edilmelidir.
D-Link'in yanıtı, kaç kişi hala bu cihazları kullanıyor olursa olsun, kritik kusurlar keşfedildiğinde EOL cihazları için istisnalar yapmama stratejisi ile uyumludur.
D-Link, "D-Link, zaman zaman bazı ürünlerinin desteğin sonuna (" EOS ") / yaşam sonu (“ EOL ”) ulaştığına karar verecek," diye açıklıyor D-Link.
"D-Link, teknolojinin evrimi, pazar talepleri, yeni yenilikler, yeni teknolojilere dayalı ürün verimliliği veya zaman içinde olgunlaşan ürün verimliliği nedeniyle EOS/EOL'yi seçebilir ve işlevsel olarak üstün teknoloji ile değiştirilmelidir."
Bu ayın başlarında, güvenlik araştırmacısı 'Netsecfish', binlerce EOL D-Link NAS cihazını etkileyen kritik bir komut enjeksiyon kusuru olan CVE-2024-10914 hakkında ayrıntıları açıkladı.
Satıcı bir uyarı yayınladı, ancak bir güvenlik güncellemesi değil ve geçen hafta tehdit izleme hizmeti Shadowserver Foundation aktif sömürü girişimleri gördüğünü bildirdi.
Ayrıca geçen hafta, güvenlik araştırmacısı Chaio-Lin Yu (Steven Meow) ve Tayvan'ın Bilgisayar ve Müdahale Merkezi (TWCERTCC), CVE-2024-11068, CVE-2024-11067 ve CVE-2024-11066, EOL'yi etkiledi. D-Link DSL6740C Modem.
İnternet taramalarına rağmen on binlerce açıkta kalan uç noktaya geri dönmesine rağmen, D-Link riski ele almamaya karar verdi.
Palo Alto Networks, potansiyel PAN-OS RCE güvenlik açığı konusunda uyarıyor
D-Link, 60.000 maruz kalan EOL modeminde kritik hatayı düzeltmeyecek
Draytek 700.000'den fazla açık yönlendiricide kritik kusurları sabitledi
MITER, 2024'ün en tehlikeli yazılım zayıflıklarını paylaşıyor
FBI, CISA ve NSA, 2023'ün en sömürülen güvenlik açıklarını ortaya çıkarıyor
Kaynak: Bleeping Computer