Kilka starszych modeli routerów firmy D-Link jest podatnych na groźne ataki typu RCE (Remote Code Execution), co stanowi poważne zagrożenie dla danych i prywatności ich użytkowników. Mimo wykrycia problemów producent odmówił wydania poprawek bezpieczeństwa, argumentując, że urządzenia te osiągnęły status EOL (End of Life).
Kolejny cios dla reputacji D-Link
Ta sytuacja to kontynuacja wcześniejszego kryzysu, gdy firma nie załatała luk w ponad 60 tysiącach urządzeń NAS, również argumentując, że były to produkty przestarzałe. Decyzja D-Link o porzuceniu wsparcia dla podatnych na ataki urządzeń rodzi pytania o jej długoterminowe podejście do bezpieczeństwa klientów. W opublikowanym oświadczeniu firma przyznała, że podatność wynika z możliwości przepełnienia bufora stosu, co umożliwia zdalne wykonanie nieautoryzowanego kodu. Choć szczegóły techniczne zagrożenia zostały celowo ograniczone, aby utrudnić działanie hakerom, sama podatność otwiera drzwi do różnorodnych ataków, takich jak kradzież danych, instalacja złośliwego oprogramowania czy przeprowadzanie ataków typu DoS.
D—Link sugeruje właścicielom, aby wymienili swoje routery na nowsze modele, zamiast liczyć na wsparcie techniczne.
Które modele są zagrożone?
Lista podatnych routerów obejmuje sześć modeli, z których większość została wycofana ze sprzedaży stosunkowo niedawno. Cztery modele osiągnęły status EOL dopiero w maju 2024 roku, co jeszcze bardziej zaostrza kontrowersje wokół odmowy wsparcia przez D-Link. Dwa pozostałe modele są nieobsługiwane od 2015 roku.
| Model | Data zakończenia wsparcia |
|---|---|
| DSR-150 | 1 maja 2024 r. |
| DSR-150N | 1 maja 2024 r. |
| DSR-250 | 1 maja 2024 r. |
| DSR-250N | 1 maja 2024 r. |
| DSR-500N | 30 września 2015 r. |
| DSR-1000N | 30 października 2015 r. |
D-Link jasno stwierdził w swoim komunikacie: „Jeśli produkt osiągnął koniec wsparcia (EOS/EOL), zazwyczaj nie ma dla niego dalszego rozszerzonego wsparcia ani rozwoju”. Firma zaleca wycofanie zagrożonych urządzeń z użytku, ostrzegając, że ich dalsze stosowanie może stanowić ryzyko dla całej sieci.
Ograniczone wsparcie dla klientów
Aby złagodzić skutki swojej decyzji, D-Link oferuje 20% zniżki na zakup nowszych modeli routerów dla osób, których dotyczy problem. Niemniej jednak, taka rekompensata nie pokrywa w pełni kosztów wymiany sprzętu ani nie rozwiązuje bieżących problemów z bezpieczeństwem użytkowników, którzy mogą nawet nie być świadomi zagrożeń. Alternatywnie, dla bardziej zaawansowanych użytkowników dostępne są rozwiązania w postaci nieoficjalnego oprogramowania układowego firm trzecich, które łatają znane luki. Niestety, instalacja takich poprawek wiąże się z unieważnieniem gwarancji, choć dla urządzeń EOL ma to już niewielkie znaczenie.
Co oznacza RCE dla użytkowników?
Ataki RCE, możliwe dzięki wykrytej podatności, pozwalają cyberprzestępcom na zdalne uruchamianie złośliwego kodu na zaatakowanym urządzeniu. Oznacza to potencjalny dostęp do całej sieci domowej lub firmowej.
To nie pierwszy przypadek, gdy D-Link odmawia łatania luk w urządzeniach EOL. Niedawne wykrycie luki CVE-2024-10914 w urządzeniach NAS firmy spotkało się z podobnym podejściem: zamiast aktualizacji, użytkownikom zasugerowano zakup nowych modeli.
Pokaż / Dodaj komentarze do: Masz taki router? To masz problem. Producent wie o błędzie, ale go nie naprawi