D-Link, bu cihazlarda düzeltilemeyecek, kimliği doğrulanmamış, uzaktan kod yürütme güvenlik açığının keşfedilmesinin ardından, kullanım ömrü sona eren VPN yönlendirici modellerini değiştirmeleri konusunda müşterileri uyarıyor.
Kusur, güvenlik araştırmacısı ‘delsploit’ tarafından keşfedildi ve D-Link’e bildirildi, ancak vahşi doğada kitlesel sömürü girişimlerini tetiklemeyi önlemek için teknik ayrıntılar halktan gizlendi.
Henüz kendisine atanmış bir CVE bulunmayan güvenlik açığı, DSR-150 ve DSR-150N’nin yanı sıra donanım yazılımı 3.13’ten 3.17B901C’ye kadar DSR-250 ve DSR-250N’nin tüm donanım ve donanım yazılımı revizyonlarını etkiliyor.
Ev ofis ve küçük işletme ortamlarında popüler olan bu VPN yönlendiricileri uluslararası alanda satıldı ve 1 Mayıs 2024’te hizmet sonuna ulaştı.
D-Link, tavsiye belgesinde dört model için bir güvenlik güncellemesi yayınlamayacaklarını açıkça belirterek, müşterilerin cihazları mümkün olan en kısa sürede değiştirmelerini önerdi.
“DSR-150 / DSR-150N / DSR-250 / DSR-250N’nin tüm donanım sürümleri ve donanım yazılımı sürümleri, 05/01/2024 itibarıyla EOL/EOS’tur. Bu istismar, bu eski D-Link yönlendiriciyi ve tüm donanım revizyonlarını etkiler, Ömrünün Sonuna Ulaşmış Olanlar […]. EOL/EOS’a ulaşan ürünler artık cihaz yazılımı güncellemelerini ve güvenlik yamalarını almıyor ve artık D-Link US tarafından desteklenmiyor.” – D-Link
Satıcı ayrıca bu cihazlar için üçüncü taraf açık ürün yazılımının bulunabileceğini ancak bunun resmi olarak desteklenmeyen veya tavsiye edilmeyen bir uygulama olduğunu ve bu tür yazılımların kullanılmasının ürünü kapsayan tüm garantileri geçersiz kıldığını belirtmektedir.
Bültende, “D-Link, bu ürünün kullanımdan kaldırılmasını şiddetle tavsiye ediyor ve bu ürünün daha fazla kullanılmasının, ona bağlı cihazlar için risk oluşturabileceği konusunda uyarıyor.”
“ABD’li tüketiciler bu cihazları D-Link’in tavsiyesine aykırı olarak kullanmaya devam ederse, lütfen cihazın Eski Web Sitesinde bulunabilecek bilinen en son donanım yazılımına sahip olduğundan emin olun.”
Kullanıcılar bu cihazlar için en güncel donanım yazılımını buradan indirebilir:
Mevcut en son ürün yazılımı sürümünü kullanmanın bile cihazı delsploit tarafından keşfedilen uzaktan kod yürütme kusurundan korumadığını ve bunun için resmi olarak herhangi bir yama yayınlanmayacağını belirtmek gerekir.
D-Link’in yanıtı, ağ donanımı satıcısının, kritik kusurlar keşfedildiğinde, bu cihazları hâlâ kaç kişi kullanıyor olursa olsun, EoL cihazları için istisna yapmama stratejisiyle uyumludur.
D-Link, “D-Link zaman zaman bazı ürünlerinin Destek Sonuna (“EOS”) / Kullanım Ömrü Sonuna (“EOL”) ulaştığına karar verecektir,” diye açıklıyor.
“D-Link, teknolojinin gelişmesi, pazar talepleri, yeni yenilikler, yeni teknolojilere dayalı ürün verimliliği nedeniyle bir ürünü EOS/EOL yapmayı seçebilir veya ürün zaman içinde olgunlaşır ve işlevsel olarak üstün teknolojiyle değiştirilmelidir.”
Bu ayın başlarında güvenlik araştırmacısı ‘Netsecfish’, binlerce EoL D-Link NAS cihazını etkileyen kritik bir komut ekleme hatası olan CVE-2024-10914 hakkındaki ayrıntıları açıkladı.
Satıcı bir uyarı yayınladı ancak bir güvenlik güncellemesi yayınlamadı ve geçen hafta, tehdit izleme hizmeti Shadowserver Foundation, aktif istismar girişimlerinin görüldüğünü bildirdi.
Yine geçen hafta, güvenlik araştırmacısı Chaio-Lin Yu (Steven Meow) ve Tayvan’ın bilgisayar ve yanıt merkezi (TWCERTCC), EoL’yi etkileyen üç tehlikeli güvenlik açığını (CVE-2024-11068, CVE-2024-11067 ve CVE-2024-11066) açıkladı. D-Link DSL6740C modem.
İnternet taramalarının on binlerce açıkta kalan uç noktayı döndürmesine rağmen, D-Link bu riski ele almamaya karar verdi.