D-Link, DIR-846W yönlendiricisinin tüm donanım ve ürün yazılımı sürümlerini etkileyen dört uzaktan kod yürütme (RCE) açığının, ürünlerin artık desteklenmemesi nedeniyle düzeltilemeyeceği konusunda uyarıyor.
Güvenlik araştırmacısı yali-1002 tarafından keşfedilen ve GitHub deposunda asgari düzeyde ayrıntı yayımlayan üçü kritik olarak derecelendirilen ve kimlik doğrulaması gerektirmeyen dört RCE açığından bazıları şöyle:
Araştırmacı, bilgileri 27 Ağustos 2024’te yayınladı ancak şimdilik kavram kanıtı (PoC) istismarlarının yayınlanmasını askıya aldı.
Kusurlar özetle şöyle:
- CVE-2024-41622: /HNAP1/ arayüzündeki tomography_ping_address parametresi aracılığıyla Uzaktan Komut Yürütme (RCE) güvenlik açığı. (CVSS v3 puanı: 9,8 “kritik”)
- CVE-2024-44340: SetSmartQoSSettings’deki smartqos_express_devices ve smartqos_normal_devices parametreleri aracılığıyla RCE güvenlik açığı (kimlik doğrulamalı erişim gereksinimi CVSS v3 puanını 8,8 “yüksek”e düşürür).
- CVE-2024-44341: lan(0)_dhcps_staticlist parametresi aracılığıyla RCE güvenlik açığı, hazırlanmış bir POST isteği aracılığıyla istismar edilebilir. (CVSS v3 puanı: 9.8 “kritik”)
- CVE-2024-44342: RCE güvenlik açığı wl(0).(0)_ssid parametresi aracılığıyla. (CVSS v3 puanı: 9.8 “kritik”)
D-Link, güvenlik sorunlarını ve bunların ciddiyetini kabul etse de, bunların standart kullanım ömrü sonu/destek sonu politikaları kapsamına girdiğini, yani bu sorunları ele alacak herhangi bir güvenlik güncellemesi olmayacağını belirtti.
D-Link’in duyurusunda, “Genel politika olarak, ürünler EOS/EOL’ye ulaştığında artık desteklenemez ve bu ürünler için tüm yazılım geliştirmeleri durdurulur” ifadeleri yer aldı.
Bültenin alt kısmında satıcı, “D-Link bu ürünün kullanımdan kaldırılmasını şiddetle tavsiye ediyor ve bu ürünün kullanılmaya devam edilmesinin, ürüne bağlı cihazlar için risk oluşturabileceği konusunda uyarıyor” ifadesini kullanıyor.
DIR-846W yönlendiricilerinin öncelikle ABD dışında satıldığı belirtiliyor, bu nedenle kusurların etkisi ABD’de minimum düzeyde olmalı, ancak küresel olarak hala önemli olmalı. Model, Latin Amerika dahil olmak üzere bazı pazarlarda hala satılıyor.
DIR-846 desteğinin dört yıl önce, 2020’de sona ermesine rağmen, birçok kişi yönlendiricilerini yalnızca donanım sorunlarıyla veya pratik sınırlamalarla karşılaştıklarında değiştiriyor, bu nedenle birçok kişi cihazları kullanmaya devam edebiliyor.
D-Link, DIR-846’yı hâlâ kullananların bunu derhal kullanımdan kaldırmalarını ve şu anda desteklenen bir modelle değiştirmelerini öneriyor.
Eğer bu mümkün değilse, donanım satıcısı kullanıcıların cihazda en son donanım yazılımının çalıştığından emin olmalarını, web yönetici portalı için güçlü parolalar kullanmalarını ve WiFi şifrelemesini etkinleştirmelerini öneriyor.
D-Link güvenlik açıkları, Mirai ve Moobot gibi kötü amaçlı yazılım botnetleri tarafından genellikle DDoS sürülerine cihazları dahil etmek için kullanılır. Tehdit aktörleri ayrıca yakın zamanda parolaları çalmak ve cihazları ihlal etmek için bir D-Link DIR-859 yönlendirici açığını da kullandı.
Bu nedenle, kavram kanıtı istismarlarının açığa çıkarılıp saldırılarda kullanılmasından önce yönlendiricilerin güvenliğinin sağlanması hayati önem taşımaktadır.