研究發(fā)現(xiàn)，一些D-Link VPN路由器易受三個(gè)新的高危漏洞的攻擊，這使得數(shù)百萬(wàn)的家庭和商業(yè)網(wǎng)絡(luò)即使有強(qiáng)大的密碼保護(hù)也容易受到網(wǎng)絡(luò)攻擊。

Digital Defense的研究人員發(fā)現(xiàn)了這些漏洞，并于8月11日向D-Link披露。如果漏洞被利用，遠(yuǎn)程攻擊者可以通過(guò)特制請(qǐng)求在易受攻擊的網(wǎng)絡(luò)設(shè)備上執(zhí)行任意命令，甚至發(fā)起拒絕服務(wù)攻擊。

Link DSR-150、DSR-250、DSR-500和DSR-1000AC以及DSR系列中運(yùn)行固件版本14和3.17的其他VPN路由器型號(hào)易受根命令注入漏洞的遠(yuǎn)程攻擊。

這家臺(tái)灣網(wǎng)絡(luò)設(shè)備制造商在12月1日的一份咨詢報(bào)告中證實(shí)了這些問(wèn)題，并補(bǔ)充說(shuō)，他們正在針對(duì)其中兩個(gè)漏洞開(kāi)發(fā)補(bǔ)丁。目前，這些補(bǔ)丁已發(fā)布。

Digital Defense在報(bào)告中表示：“從廣域網(wǎng)和局域網(wǎng)接口來(lái)看，這些漏洞可以在網(wǎng)上被利用?！?/p>

“因此，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過(guò)訪問(wèn)路由器web界面，作為根用戶執(zhí)行任意命令，從而有效地獲得對(duì)路由器的完全控制。”

易受攻擊的組件“Lua-CGI”可以在不經(jīng)過(guò)身份驗(yàn)證的情況下訪問(wèn)，并且缺少服務(wù)器端過(guò)濾，從而使得攻擊者（無(wú)論是否經(jīng)過(guò)身份驗(yàn)證）都有可能注入將以根用戶權(quán)限執(zhí)行的惡意命令。

Digital Defense報(bào)告的另一個(gè)漏洞涉及修改路由器配置文件，以根用戶身份注入惡意CRON條目并執(zhí)行任意命令。

然而，D-Link表示，它不會(huì)“在這一代產(chǎn)品上”修復(fù)這一漏洞，并表示這是預(yù)期的功能。

Digital defence警告說(shuō)，由于COVID-19的流行，在家工作的人數(shù)空前增加，可能會(huì)有更多的員工使用受影響的設(shè)備連接到企業(yè)網(wǎng)絡(luò)。

隨著遠(yuǎn)程工作的增加，vpn中的漏洞成為攻擊者進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的目標(biāo)。

建議使用受影響產(chǎn)品的企業(yè)進(jìn)行相關(guān)更新。

消息及封面來(lái)源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/