D-Linkは、これらのデバイスで修正されない重大な未認証のリモートコード実行の脆弱性が発見されたため、使用済みのVPNルーターモデルを交換するよう顧客に警告している。
この脆弱性は、セキュリティ研究者の’delsploit’によって発見され、D-Linkに報告されたが、技術的な詳細は公開されていない。
この脆弱性にはまだCVEが割り当てられておらず、DSR-150とDSR-150Nのすべてのハードウェアとファームウェアのリビジョン、およびファームウェア3.13から3.17B901CまでのDSR-250とDSR-250Nに影響する。
これらのVPNルーターは、ホームオフィスや中小企業で人気があり、国際的に販売され、2024年5月1日にサービス終了となった。
D-Linkは勧告の中で、4つのモデルに対するセキュリティ・アップデートをリリースしないことを明らかにしており、顧客はできるだけ早くデバイスを交換することを推奨している。
ベンダーはまた、これらのデバイスのためにサードパーティのオープン-ファームウェアが存在する可能性がありますが、これは正式にサポートされていないか、または推奨されていない慣行であり、そのようなソフトウェアを使用すると、製品をカバーするすべての保証を無効にすることに注意してください。
「D-Linkはこの製品の使用を中止することを強く推奨しており、これ以上この製品を使用すると、この製品に接続されている機器にリスクが及ぶ可能性があることを警告している。
「米国の消費者がD-Linkの勧告に反してこれらのデバイスを使用し続ける場合、デバイスがLegacy Websiteで見つけることができる最新のファームウェアを持っていることを確認してください。
ユーザーはこれらのデバイスの最新のファームウェアをここからダウンロードすることができる:
利用可能な最新のファームウェア・バージョンを使用しても、delsploitによって発見されたリモート・コード実行の欠陥からデバイスを保護することはできず、パッチも公式にはリリースされないことに留意すべきである。
D-Link の対応は、ネットワーキング・ハードウェア・ベンダーが、重大な欠陥が発見された EoL 機器につい ては、どれだけ多くの人々がまだこれらの機器を使用していたとしても、例外を設けないという戦略に沿っ ている。
「D-Linkは、時折、一部の製品がサポート終了(EOS)/ライフサイクル終了(EOL)に達したと判断することがあります」とD-Linkは説明している。
「D-Linkは、技術の進化、市場の需要、新たな技術革新、新技術に基づく製品の効率化、あるいは製品が時間の経過とともに成熟し、機能的に優れた技術に置き換えるべきなどの理由により、製品のEOS/EOLを選択することがあります。
今月初め、セキュリティ研究者の’Netsecfish’は、数千台のEoL D-LinkのNASデバイスに影響を与える重大なコマンドインジェクションの欠陥であるCVE-2024-10914の詳細を公表した。
ベンダーは警告を発したが、セキュリティ・アップデートは行わず、先週、脅威モニタリング・サービスのThe Shadowserver Foundationは、悪用の試みが活発に行われていることを報告した。
また先週、セキュリティ研究者のChaio-Lin Yu(Steven Meow)と台湾のコンピュータ・レスポンス・センター(TWCERTCC)は、EoL D-Link DSL6740Cモデムに影響を与える3つの危険な脆弱性、CVE-2024-11068、CVE-2024-11067、CVE-2024-11066を公表した。
インターネット・スキャンで何万もの露出したエンドポイントが検出されたにもかかわらず、D-Linkはこのリスクに対処しないことを決定した。
Comments