D-Link tuyên bố không cung cấp bản vá bảo mật cho 60.000 modem đời cũ

 (techradar.com)
1 điểm bởi GN⁺ 2024-11-28 | 1 bình luận | Chia sẻ qua WhatsApp

  • Các lỗ hổng do nhà nghiên cứu bảo mật phát hiện

    • Các lỗ hổng bảo mật nghiêm trọng đã được phát hiện trên những modem D-Link cũ.
    • D-Link khuyến nghị nâng cấp phần cứng thay vì vá các lỗ hổng này.
    • Có khoảng 60.000 thiết bị dễ bị tấn công, phần lớn nằm ở Đài Loan.

  • Phản ứng của D-Link

    • D-Link đã quyết định không cung cấp bản vá cho các thiết bị đã đạt trạng thái EoL (End of Life).
    • Người dùng được khuyến nghị thay thế bằng các mẫu mới hơn.
    • Các thiết bị NAS của D-Link cũng phát hiện những lỗ hổng tương tự, nhưng cũng sẽ không được vá.

  • Chi tiết các lỗ hổng được phát hiện

    • CVE-2024-11068: lỗ hổng cho phép thay đổi mật khẩu thông qua truy cập API, mức độ nghiêm trọng 9.8.
    • CVE-2024-11067: lỗ hổng path traversal, mức độ nghiêm trọng 7.5.
    • CVE-2024-11066: lỗ hổng thực thi mã từ xa, mức độ nghiêm trọng 7.2.

  • Khuyến nghị bổ sung

    • Nếu chưa thể thay router ngay, người dùng được khuyến nghị hạn chế truy cập từ xa và đặt mật khẩu an toàn.
    • Router là một trong những endpoint bị tấn công nhiều nhất.

  • Thông tin khác

    • D-Link khuyến nghị ngừng sử dụng và thay thế các thiết bị đã đến EOL/EOS.
    • Trung tâm Ứng cứu và Điều phối Máy tính Đài Loan (TWCERTCC) cũng phát hiện thêm 4 lỗ hổng chèn lệnh.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-11-28
Ý kiến trên Hacker News

  • Giới thiệu bài viết về việc không có bản vá bảo mật cho các modem cũ của D-Link

    • D-Link có lịch sử phát hành thiết bị có bảo mật yếu và tốt hơn nên mua sản phẩm khác

  • Chỉ thị trách nhiệm sản phẩm của EU yêu cầu cập nhật để duy trì bảo mật của sản phẩm

    • Ở Đức, có kỳ vọng rằng sản phẩm và ứng dụng liên quan phải được cập nhật trung bình trong 5 năm

  • Khuyến nghị Ubiquiti (Unifi) và OpenWRT cho những ai tìm kiếm sản phẩm hỗ trợ dài hạn

    • Các thiết bị hỗ trợ OpenWRT có giá rẻ và nhiều khả năng được hỗ trợ lâu dài

  • Không chỉ cam kết hỗ trợ của sản phẩm mà chất lượng phần mềm của công ty cũng quan trọng

  • Chia sẻ trải nghiệm từng phân tích lỗ hổng của router Wi‑Fi cũ và định đăng lên blog

    • Nhà sản xuất đã ngừng cập nhật nên cuối cùng phải mua thiết bị mới

  • Đã dùng Ubiquiti Edge Router nhưng về lâu dài không thấy hài lòng

    • Đã mua hộp Protectli, flash coreboot, dùng pfSense rồi chuyển sang OPNSense

  • Thiết bị mạng tiêu dùng yếu về bảo mật và những ai coi trọng bảo mật thì không nên dùng

  • Khuyến nghị flash OpenWRT lên phần cứng cũ

    • Tốt hơn là mua phần cứng có thể chạy pfSense hoặc OPNSense

  • Giải thích bối cảnh lỗi liên quan đến việc D-Link kết thúc vòng đời sản phẩm

    • Giới thiệu cách sử dụng OpenWRT

  • Chỉ trích điểm CVSS

    • Điểm CVE không hữu ích trong việc đánh giá tác động thực tế của lỗ hổng bảo mật

  • Đáng tiếc là UI của router MikroTik không phù hợp với người không chuyên

    • Giá rẻ và được hỗ trợ lâu dài, nhưng UI khó với người không chuyên