Starší routery D-Link mají závažnou chybu, nebude však opravena
7.10.2019, Milan Šurkala, aktualita
Inženýři ve FortiGuard Labs našli ve firmwaru některých starších routerů společnosti D-Link závažnou bezpečnostní chybu, která útočníkovi umožňuje ovládnout router. Opravy se ale už kvůli stáří routerů nedočkáme.
Server Fortinet a jeho FortiGuard Labs v září přišli na závažný bezpečnostní problém u některých starších routerů společnosti D-Link. Jejich firmware obsahuje chybu s kódovým označením CVE-2019-16920, která při šikovném použití rozhraní PingTest umožňuje útočníkovi vložení vlastního kódu, ať už se přihlásil nebo ne, zjištění přístupových údajů administrátora a následkem toho může nad routerem převzít plnou kontrolu, nainstalovat sem zadní vrátka pro další útoky a podobně. Závažnost chyby byla vyhodnocena velmi vysokým číslem 9,8 (CVSS 3.1) a rovných 10 (CVSS 2.0). Připomeňme, že maximum má hodnotu 10, takže horší už to podle starší normy být ani nemůže.
Chyba se týká routerů DIR-655, DIR-866L, DIR-652 a DHP-1565. Poněvadž jde ale o starší kousky, které už dosáhly svého EOL (End of Life), D-Link pár dní po nahlášení chyby sdělil, že neplánuje vydání aktualizace. Kdo tak bude chtít bezpečnější router, bude si muset koupit nový. Smutným faktem nicméně je, že většina uživatelů na bezpečnost nedává moc velký důraz a patrně by případnou aktualizaci stejně asi neprovedla (v praxi bohužel aktualizuje router málokdo).