引言
D-Link 最近发出警告,建议用户更换其已停产的 VPN 路由器型号,因为发现了一种关键的未认证远程代码执行漏洞,而该漏洞不会在这些设备上修复。本文将详细介绍这一安全漏洞及其潜在影响,并提供替代解决方案。
漏洞概述
D-Link 的这次警告源于安全研究人员 'delsploit' 发现并报告的漏洞。虽然技术细节未向公众披露,以避免引发大规模的利用尝试,但该漏洞影响了所有硬件和固件版本的 DSR-150、DSR-150N、DSR-250 和 DSR-250N,具体来说是固件版本 3.13 到 3.17B901C。
这些 VPN 路由器在家庭办公室和小型企业环境中非常受欢迎,国际销售并于 2024 年 5 月 1 日达到服务终止(EOL)状态。
D-Link 的建议
D-Link 在公告中明确表示,不会为这四个型号发布安全更新,建议用户尽快更换设备。公告中提到:
“DSR-150 / DSR-150N / DSR-250 / DSR-250N 所有硬件版本和固件版本自 2024 年 5 月 1 日起已达到 EOL/EOS。此漏洞影响该遗留 D-Link 路由器及所有硬件版本,已达到其生命周期结束。”
D-Link 还指出,虽然可能存在第三方开源固件,但这并不是官方支持或推荐的做法,使用此类软件将使产品的保修失效。
“D-Link 强烈建议停止使用此产品,并警告说继续使用此产品可能会对连接的设备造成风险。”
固件下载
用户可以从以下链接下载这些设备的最新固件:
需要注意的是,即使使用最新的可用固件版本,也无法保护设备免受 'delsploit' 发现的远程代码执行漏洞,且不会为其发布补丁。
D-Link 的政策
D-Link 的回应与其网络硬件供应商的策略一致,即在发现关键漏洞时不对 EoL 设备做出例外处理,无论仍有多少人使用这些设备。D-Link 解释道:
“D-Link 会不时决定某些产品已达到支持结束(EOS)/ 生命周期结束(EOL),这可能是由于技术演变、市场需求、新创新、基于新技术的产品效率,或产品随着时间的推移成熟,应被功能上更优越的技术替代。”
其他安全漏洞
本月早些时候,安全研究人员 'Netsecfish' 披露了一个影响数千台 EoL D-Link NAS 设备的关键命令注入漏洞 CVE-2024-10914。尽管 D-Link 发布了警告,但并未提供安全更新。上周,威胁监测服务 The Shadowserver Foundation 报告称发现了活跃的利用尝试。
此外,安全研究人员 Chaio-Lin Yu(Steven Meow)和台湾计算机应急响应中心(TWCERTCC)披露了三个危险漏洞,分别是 CVE-2024-11068、CVE-2024-11067 和 CVE-2024-11066,影响 EoL D-Link DSL6740C 调制解调器。尽管互联网扫描返回了数万个暴露的端点,D-Link 决定不解决该风险。
结论
面对 D-Link 路由器的安全漏洞,用户应尽快更换受影响设备,以保护网络安全。选择一款快速且安全的 VPN 产品,确保您的网络连接安全无忧。
