D-Link won’t fix critical bug in 60,000 exposed EoL modems

使用期限を迎えた数万台のD-Linkルーターには、認証されていないリモート攻撃者が任意のユーザーのパスワードを変更し、デバイスを完全に制御することを可能にする重大なセキュリティ問題の脆弱性がある。

この脆弱性は、D-Link DSL6740Cモデムに発見されたもので、セキュリティ研究者のChaio-Lin Yu(Steven Meow)が台湾のコンピュータ・レスポンス・センター(TWCERTCC)に報告した。

このデバイスは米国では販売されておらず、年初にサービス終了(EoS)フェーズに達したことは注目に値する。

D-Linkは本日の勧告で、この問題を修正せず、”EOL/EOSに達したD-Linkデバイスの引退と交換 “を推奨すると発表した。

Chaio-Lin YuはTWCERTCCに他の2つの脆弱性、OSコマンドインジェクションとパストラバーサルの問題を報告した:

3つの脆弱性の概要は以下の通り:

  • CVE-2024-11068:CVE-2024-11068: 認証されていない攻撃者が特権的な API アクセスを通じて任意のユーザのパスワードを変更し、モデムの Web、SSH、Telnet サービスにアクセスできるようにする不具合。(CVSS v3 スコア: 9.8 “クリティカル”)。
  • CVE-2024-11067:パストラバーサルの脆弱性により、認証されていない攻撃者に任意のシステムファイルを読まれたり、 デバイスの MAC アドレスを取得されたり、デフォルトの認証情報を使ってログインを試みられたりします。(CVSS v3 スコア: 7.5 “high”)
  • CVE-2024-11066: 管理者権限を持つ攻撃者が、特定のウェブページを通じてホストオペレーティングシステム上で任意のコマンドを実行できるようにする不具合(CVSS v3 スコア: 7.2 “high”)

FOFA の検索エンジンで、一般に公開されているデバイスとソフトウェアを検索してみると、インターネット上でアクセス可能な D-Link DSL6740C モデムが 60,000 台近くあり、そのほとんどが台湾にあることがわかります。

FOFA scan results
FOFA スキャン結果
出典

TWCERTCC は、同じ D-Link デバイスに影響を与える、さらに 4 つの深刻度の高い OS コマンドインジェクションの脆弱性について勧告を発表した。バグはCVE-2024-11062CVE-2024-11063CVE-2024-11064CVE-2024-11065 として追跡されている。

一般ウェブ上に公開されている脆弱なデバイスの数は相当なものですが、D-Link は過去[1,2] に、致命的なバグがある場合でも、製造終了 (EoL) デバイスはアップデートの対象外であることを明らかにしています。

ユーザーが、影響を受けたデバイスをベンダーがまだサポートしている機種に交換できない場合、少なくともリモートアクセスを制限し、安全なアクセスパスワードを設定する必要があります。