D-Link最近发布了固件更新,以解决影响DIR-865L无线家用路由器的六个安全漏洞中的三个。
在影响D-Link家庭路由器的漏洞列表下方:
- CVE-2020-13782:命令中特殊元素的不正确中和(命令注入)–严重等级9.8,未修复
- CVE-2020-13786:跨站点请求伪造(CSRF)–高严重性评分8.8,已修复
- CVE-2020-13785:加密强度不足–严重等级为7.5,已修复
- CVE-2020-13784:伪随机数生成器中的可预测种子–高严重性得分7.5不固定
- CVE-2020-13783:敏感信息的明文存储–严重等级为7.5,已修复
- CVE-2020-13787:敏感信息的明文传输–严重等级为7.5,未修复
该漏洞于2月由Palo Alto Networks的研究人员报告给D-Link,专家指出,这些问题也可能影响较新的型号,因为它们共享部分固件代码。
只有命令注入漏洞的等级为“严重”,其余的等级为“高”,攻击者可以利用它们执行任意命令,窃取敏感信息,上传恶意有效载荷或删除数据。
根据Palo Alto Networks 42单元研究员Gregory Basior的说法,攻击者可以将上述问题中的一些链接起来,以嗅探网络流量并窃取会话Cookie。
这些漏洞的不同组合可能导致重大风险。例如,恶意用户可以嗅探网络流量以窃取会话Cookie。” 读取Palo Alto Networks发布的分析。
“有了这些信息,他们就可以访问管理门户进行文件共享,从而使他们能够上传任意恶意文件,下载敏感文件或删除基本文件。他们还可以使用cookie来运行任意命令来进行拒绝服务攻击。”
美国消费者不再支持D-Link的DIR-865L,而卖方门槛则为欧洲消费者提供支持。
该供应商发布了Beta固件版本,该固件版本仅修复了六个缺陷中的三个,建议客户使用新型号替换其设备。