D-Link路由器面临零日漏洞的远程接管风险

Buggy固件为零日攻击打开了许多D-Link VPN路由器模型。这些缺陷缺少完整的供应商修复程序，使攻击者可以发起可以远程执行的根命令注入攻击，并允许设备接管。

根据Digital Defense周二发布的报告，受影响的是运行固件版本3.14和3.17的D-Link路由器型号DSR-150，DSR-250，DSR-500和DSR-1000AC VPN。这些攻击取决于研究人员确定的三个连锁错误，即未经身份验证的远程LAN / WAN根命令注入漏洞，经过身份验证的根命令注入漏洞和经过身份验证的crontab注入。

缺陷（CVE-2020-25757，CVE-2020-25759，CVE-2020-25758）已通过D-Link确认。但是，该公司表示，适用于其DSR-150，DSR-250和DSR-500型号的Beta固件补丁程序和热补丁缓解程序会大大降低对手针对易受攻击的路由器的能力。

“这两个漏洞已得到确认，补丁正在开发中。报告的漏洞之一是设备的功能原理，D-Link不会在这一代产品上对其进行纠正。

某些受影响的路由器型号于2012年首次推出，似乎缺少与更现代的D-Link路由器型号相同的修补节奏。例如，D-Link的DSR-150于7年前发布。

D-Link支持页面上没有有关最新路由器型号DSR-500和DSR-1000AC VPN的信息或修补程序。 Digital Defense均将这两个漏洞都识别为容易受到远程利用的根命令注入漏洞的攻击。

数字防御研究人员指出，路由器是在众多零售商店出售的普通家庭网络设备，这意味着由于COVID-19大流行而在远程工作的人们不仅会使自己的环境而且使公司网络面临风险。

无需使用WAN和LAN接口进行身份验证即可在Internet上利用此关键漏洞，从而使远程未经身份验证的攻击者可以访问路由器的Web界面，从而能够以root用户身份执行任意命令，“有效地获得了对路由器的完全控制权”。根据数字防御报告。

研究人员说：“有了这种访问权限，攻击者就可以拦截和/或修改流量，导致拒绝服务状况并对其他资产发起进一步的攻击。”他补充说，D-Link路由器可以同时连接多达15个其他设备。

D-Link在其报告中提供了有关该错误的一些技术细节，并指出“以下Lua CGI操作（无需身份验证即可访问）执行Lua库函数，该函数将用户提供的数据传递给对os.popen（）的调用。用于计算哈希的命令的一部分：/platform.cgi？action = duaAuth，/ platform.cgi？action = duaLogout。”

该公司表示，除了未经身份验证的命令注入漏洞外，Digital Defense还向D-Link报告了另外两个漏洞，攻击者可以利用这些漏洞控制路由器。

第二个缺陷与公司相似，但是根据D-Link的说法，需要经过身份验证的用户访问“统一服务路由器” Web界面才能注入将以root特权执行的任意命令。

“ Lua CGI处理来自'Unified Services Router'网络界面中'Package Management'表单的请求，它没有针对传递给os的多部分POST参数有效负载的服务器端过滤。 D-Link表示，“执行（）函数旨在将上传的文件移动到另一个目录。”

第三个问题是身份验证crontab注入漏洞，根据D-Link的说法，该漏洞使经过身份验证的用户可以访问LAN或WAN上的“统一服务路由器” Web界面，以注入任意CRON条目。该公司表示，将通过修改下载的路由器配置文件，更新CRC并重新上传生成的精心制作的配置文件，以root用户身份执行这些操作。

D-Link表示：“配置文件的机制在上载时经过身份验证，被恶意用户创建的精心制作的配置文件绕过了，精心制作的配置文件添加了新的cron条目以root用户身份执行任意命令，”

根据D-Link的说法，前两个缺陷的最终补丁目前正在开发中，并将于12月中旬发布。

“ D-Link已针对受影响的固件版本和型号以修补程序的形式制作了补丁。请参考D-Link的支持公告中提供的信息。官方固件版本预计在12月中旬发布。建议用户验证其硬件型号和固件，以识别易受攻击的设备，并应用提供的修补程序和任何其他更新，直到官方固件可用为止。

自3月COVID-19大流行限制首次迫使那些可以在家工作的人以来，家庭网络和运行它们的设备已成为安全问题，许多组织对此基本上没有做好准备。随着大流行的持续存在，与家庭网络连接到家庭网络时的安全性问题也随之而来，因为家庭网络本质上安全性较低，并带来许多新的威胁。

确实，今年早些时候发布的一份报告发现，大多数家用路由器都包含许多已知漏洞（有时数百个），这些漏洞在很大程度上尚未修补，这意味着许多目前在家工作的路由器可能处于危险之中。

立即运行勒索软件：12月16日下午2点，免费为Threatpost网络研讨会举办``勒索软件的下一步''活动。 ET。了解勒索软件世界中即将发生的事情以及如何进行反击。

从Digital Shadows的网络威胁情报分析师John（Austin）Merritt和Cyber​​eason的CISO Israel Barak获取有关新型攻击的最新信息。主题将包括最危险的勒索软件威胁参与者，其不断发展的TTP以及您的组织需要采取什么措施才能领先于下一次不可避免的勒索软件攻击。请在12月16日星期三在此注册以进行本次在线研讨会。