Одна из брешей позволяла злоумышленникам получить полный доступ к устройству, независимо от того, была ли активирована опция “WAN management”. D-Link выпустила обновление для прошивки своего двухполосного “облачного” маршрутизатора DIR-820L, исправляющее ряд уязвимостей. Бреши были обнаружены ИБ-экспертом Питером Адкинсом (Peter Adkins), сообщившим о них компании в начале января нынешнего года.
Одна из уязвимостей позволяла злоумышленникам получить полный доступ к устройству, независимо от того, была ли активирована опция “WAN management”. Как сообщается в уведомлении D-Link, эксплуатируя брешь, злоумышленник мог без аутентификации использовать маршрутизатор для загрузки утилиты, позволяющей инфицировать компьютер жертвы вредоносным ПО.
Вторая уязвимость присутствовала в утилите ping маршрутизатора и позволяла не аутентифицированному пользователю осуществлять инъекции команд. Эксплуатируя третью брешь, с помощью определенных утилит для прошивки злоумышленник мог раскрыть информацию о конфигурации устройства. Обновления для затронутых уязвимостями моделей маршрутизаторов DIR-626L, DIR-636L, DIR-808L, DIR-810L, DIR-826L, DIR-830L и DIR-836L будут выпущены до 10 марта 2015 г. Бреши также присутствовали в устройствах TRENDnet TEW-731BR. Производитель выпустил исправления для них в прошлом месяце. (D-Link/NovostIT)