聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

研究發(fā)現(xiàn)，一些D-Link VPN路由器易受三個新的高危漏洞的攻擊，這使得數(shù)百萬的家庭和商業(yè)網(wǎng)絡(luò)即使有強大的密碼保護也容易受到網(wǎng)絡(luò)攻擊。

Digital Defense的研究人員發(fā)現(xiàn)了這些漏洞，并于8月11日向D-Link披露。如果漏洞被利用，遠程攻擊者可以通過特制請求在易受攻擊的網(wǎng)絡(luò)設(shè)備上執(zhí)行任意命令，甚至發(fā)起拒絕服務(wù)攻擊。

Link DSR-150、DSR-250、DSR-500和DSR-1000AC以及DSR系列中運行固件版本14和3.17的其他VPN路由器型號易受根命令注入漏洞的遠程攻擊。

這家臺灣網(wǎng)絡(luò)設(shè)備制造商在12月1日的一份咨詢報告中證實了這些問題，并補充說，他們正在針對其中兩個漏洞開發(fā)補丁。目前，這些補丁已發(fā)布。

Digital Defense在報告中表示：“從廣域網(wǎng)和局域網(wǎng)接口來看，這些漏洞可以在網(wǎng)上被利用?！?/p>

“因此，未經(jīng)身份驗證的遠程攻擊者可以通過訪問路由器web界面，作為根用戶執(zhí)行任意命令，從而有效地獲得對路由器的完全控制。”

易受攻擊的組件“Lua-CGI”可以在不經(jīng)過身份驗證的情況下訪問，并且缺少服務(wù)器端過濾，從而使得攻擊者（無論是否經(jīng)過身份驗證）都有可能注入將以根用戶權(quán)限執(zhí)行的惡意命令。

Digital Defense報告的另一個漏洞涉及修改路由器配置文件，以根用戶身份注入惡意CRON條目并執(zhí)行任意命令。

然而，D-Link表示，它不會“在這一代產(chǎn)品上”修復(fù)這一漏洞，并表示這是預(yù)期的功能。

Digital defence警告說，由于COVID-19的流行，在家工作的人數(shù)空前增加，可能會有更多的員工使用受影響的設(shè)備連接到企業(yè)網(wǎng)絡(luò)。

隨著遠程工作的增加，vpn中的漏洞成為攻擊者進入企業(yè)內(nèi)部網(wǎng)絡(luò)的目標(biāo)。

建議使用受影響產(chǎn)品的企業(yè)進行相關(guān)更新。

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/