D-Link

D-Linkは、同社のDIR-846Wルーターの全ハードウェアおよびファームウェアバージョンに影響を与える4つのリモートコード実行(RCE)欠陥について、製品のサポートが終了したため修正されないと警告している。

4つのRCEの欠陥は、そのうちの3つが重大と評価され、認証を必要としないもので、セキュリティ研究者yali-1002によって発見され、彼らのGitHubリポジトリで最小限の詳細が公開された。

研究者は2024年8月27日に情報を公開したが、概念実証(PoC)エクスプロイトの公開は今のところ保留している。

欠陥の概要は以下の通り:

  • CVE-2024-41622:/HNAP1/インターフェースの tomography_ping_address パラメータを経由したリモートコマンド実行(RCE)の脆弱性。(CVSS v3 スコア: 9.8 “critical”)
  • CVE-2024-44340: SetSmartQoSSettings の smartqos_express_devices および smartqos_normal_devices パラメータを経由した RCE 脆弱性 (認証されたアクセス要件により CVSS v3 のスコアが 8.8 “high” に低下)。
  • CVE-2024-44341: lan(0)_dhcps_staticlist パラメータを経由した RCE 脆弱性。(CVSS v3 スコア: 9.8 “critical”)
  • CVE-2024-44342: wl(0).(0)_ssid パラメータに RCE の脆弱性。(CVSS v3 スコア: 9.8 “critical”)

D-Linkは、セキュリティ問題とその重大性を認めたものの、それらが同社の標準的な製造終了/サポート終了ポリシーに該当し、それらに対処するためのセキュリティアップデートが行われないことを指摘した。

「一般的なポリシーとして、製品がEOS/EOLに達すると、その製品はサポートされなくなり、これらの製品のファームウェア開発はすべて中止されます

「D-Linkは、本製品を引退させることを強く推奨し、本製品をこれ以上使用することは、本製品に接続されたデバイスに危険を及ぼす可能性があることを警告する」と、さらにその下に付け加えている。

DIR-846Wルーターは主に米国外で販売されているため、この欠陥の影響は米国内では最小限にとどまるが、世界的にはまだ大きいことが指摘されている。このモデルは、ラテンアメリカを含む一部の市場ではまだ販売されている。

DIR-846は4年以上前の2020年にサポート終了を迎えたが、多くの人はハードウェアの問題や実用的な制限に直面して初めてルーターを交換するため、まだ多くの人がこのデバイスを使用できる。

D-Linkは、まだDIR-846を使用している人は、すぐにそれを引退させ、現在サポートされているモデルに交換することをお勧めします。

それが不可能な場合、ハードウェアベンダーは、デバイスが最新のファームウェアを実行していることを確認し、ウェブ管理ポータルに強力なパスワードを使用し、WiFi暗号化を有効にすることをユーザーに推奨している。

D-Linkの脆弱性は、Miraiや Moobotのようなマルウェアのボットネットによく悪用され、デバイスをDDoSの群れに勧誘する。また最近、脅威行為者はD-Link DIR-859ルーターの欠陥を悪用してパスワードを盗み、デバイスに侵入している。

したがって、概念実証のエクスプロイトがリリースされ、攻撃に悪用される前にルーターを保護することが重要である。