Kullanım ömrü sonuna gelmiş on binlerce D-Link yönlendirici, kimliği doğrulanmamış uzak bir saldırganın herhangi bir kullanıcının şifresini değiştirmesine ve cihazın tüm kontrolünü ele geçirmesine olanak tanıyan kritik bir güvenlik sorununa karşı savunmasızdır.
Güvenlik açığı, güvenlik araştırmacısı Chaio-Lin Yu (Steven Meow) tarafından D-Link DSL6740C modemde keşfedildi ve durumu Tayvan’ın bilgisayar ve yanıt merkezine (TWCERTCC) bildirdi.
Cihazın ABD’de mevcut olmadığını ve yılın başında hizmet sonu (EoS) aşamasına geldiğini belirtmekte fayda var.
Bugün yayınlanan bir danışma belgesinde D-Link, sorunu çözmeyeceğini duyurdu ve “EOL/EOS’a ulaşmış D-Link cihazlarının kullanımdan kaldırılmasını ve değiştirilmesini” tavsiye etti.
Chaio-Lin Yu, TWCERTCC’ye diğer iki güvenlik açığını, bir işletim sistemi komut enjeksiyonunu ve bir yol geçiş sorununu bildirdi:
Üç kusur sorunu aşağıdaki gibi özetlenmiştir:
- CVE-2024-11068: Kimliği doğrulanmamış saldırganların ayrıcalıklı API erişimi yoluyla herhangi bir kullanıcının parolasını değiştirerek modemin Web, SSH ve Telnet hizmetlerine erişmesine olanak sağlayan kusur. (CVSS v3 puanı: 9,8 “kritik”).
- CVE-2024-11067: Kimliği doğrulanmamış saldırganların rastgele sistem dosyalarını okumasına, cihazın MAC adresini almasına ve varsayılan kimlik bilgilerini kullanarak oturum açmaya çalışmasına olanak tanıyan yol geçişi güvenlik açığı. (CVSS v3 puanı: 7,5 “yüksek”)
- CVE-2024-11066: Yönetici ayrıcalıklarına sahip saldırganların, belirli bir web sayfası aracılığıyla ana bilgisayar işletim sisteminde rastgele komutlar yürütmesine olanak tanıyan hata. (CVSS v3 puanı: 7,2 “yüksek”)
Kamuya açık cihazlar ve yazılımlar için FOFA arama motorunda hızlı bir arama, çoğu Tayvan’da olmak üzere internet üzerinden ulaşılabilen 60.000’e yakın D-Link DSL6740C modemin bulunduğunu gösteriyor.
TWCERTCC, aynı D-Link cihazını etkileyen dört adet yüksek önem dereceli işletim sistemi komut ekleme güvenlik açığına yönelik tavsiyeler yayınladı. Hatalar CVE-2024-11062, CVE-2024-11063, CVE-2024-11064 ve CVE-2024-11065 olarak izleniyor.
Herkese açık ağda açığa çıkan savunmasız cihazların sayısı önemli olsa da, D-Link bunu geçmişte açıkça belirtmişti. [1, 2] Kritik hatalar söz konusu olduğunda bile kullanım ömrü sonu (EoL) cihazların güncellemeler kapsamında olmadığını.
Kullanıcılar etkilenen cihazı satıcının hâlâ desteklediği bir modelle değiştiremiyorsa en azından uzaktan erişimi kısıtlamalı ve güvenli erişim şifreleri belirlemelidir.