تحذر شركة D-Link من أن أربعة عيوب في تنفيذ التعليمات البرمجية عن بعد (RCE) تؤثر على جميع إصدارات الأجهزة والبرامج الثابتة لجهاز التوجيه DIR-846W الخاص بها لن يتم إصلاحها لأن المنتجات لم تعد مدعومة.
تم اكتشاف العيوب الأربعة في RCE، ثلاثة منها مصنفة على أنها حرجة ولا تتطلب مصادقة، بواسطة الباحث الأمني yali-1002، الذي أصدر تفاصيل ضئيلة في تقريره مستودع GitHub.
نشر الباحث المعلومات في 27 أغسطس 2024، لكنه امتنع عن نشر ثغرات إثبات المفهوم (PoC) في الوقت الحالي.
ويمكن تلخيص العيوب على النحو التالي:
- سي في إي-2024-41622:ثغرة تنفيذ الأوامر عن بعد (RCE) عبر معلمة tomography_ping_address في واجهة /HNAP1/. (درجة CVSS v3: 9.8 “حرجة”)
- سي في إي-2024-44340:ثغرة RCE عبر معلمات smartqos_express_devices وsmartqos_normal_devices في SetSmartQoSSettings (يؤدي متطلب الوصول الموثق إلى تقليل درجة CVSS v3 إلى 8.8 “عالية”).
- سي في إي-2024-44341:ثغرة RCE عبر معلمة lan(0)_dhcps_staticlist، يمكن استغلالها من خلال طلب POST معد مسبقًا. (درجة CVSS v3: 9.8 “حرجة”)
- سي في إي-2024-44342: ثغرة RCE عبر معلمة wl(0).(0)_ssid. (درجة CVSS v3: 9.8 “حرجة”)
وعلى الرغم من اعتراف شركة D-Link بالمشكلات الأمنية ومدى خطورتها، إلا أنها أشارت إلى أنها تندرج ضمن سياسات نهاية العمر الافتراضي/نهاية الدعم القياسية، مما يعني أنه لن تكون هناك تحديثات أمنية لمعالجتها.
“كسياسة عامة، عندما تصل المنتجات إلى نهاية عمرها الافتراضي، لن يكون من الممكن دعمها بعد الآن، ويتوقف تطوير جميع البرامج الثابتة لهذه المنتجات.” يقرأ إعلان D-Link.
ويضيف البائع في نشرة المنتج: “توصي شركة D-Link بشدة بإيقاف هذا المنتج وتحذر من أن أي استخدام آخر لهذا المنتج قد يشكل خطراً على الأجهزة المتصلة به”.
تجدر الإشارة إلى أن أجهزة التوجيه DIR-846W تم بيعها في المقام الأول خارج الولايات المتحدة، لذا فإن تأثير العيوب يجب أن يكون ضئيلاً في الولايات المتحدة، ولكنه لا يزال كبيرًا على مستوى العالم. لا يزال الطراز يُباع في بعض الأسواق، بما في ذلك أمريكا اللاتينية.
على الرغم من أن DIR-846 وصل إلى نهاية الدعم في عام 2020، إلا أنه منذ أكثر من أربع سنوات، لا يستبدل العديد من الأشخاص أجهزة التوجيه الخاصة بهم إلا عندما يواجهون مشاكل في الأجهزة أو قيودًا عملية، لذلك لا يزال بإمكان الكثير من الأشخاص استخدام الأجهزة.
توصي D-Link الأشخاص الذين ما زالوا يستخدمون DIR-846 بالتخلص منه على الفور واستبداله بنموذج مدعوم حاليًا.
إذا كان ذلك مستحيلاً، توصي الشركة المصنعة للأجهزة المستخدمين بالتأكد من تشغيل الجهاز لأحدث البرامج الثابتة، واستخدام كلمات مرور قوية لبوابة مسؤول الويب، وتمكين تشفير WiFi.
يتم استغلال نقاط ضعف D-Link بشكل شائع بواسطة شبكات الروبوتات الضارة، مثل ميراي و موبوتلتجنيد الأجهزة في أسراب DDoS. كما قام الجهات الفاعلة في مجال التهديد مؤخرًا تم استغلال ثغرة في جهاز التوجيه DIR-859 من D-Link لسرقة كلمات المرور واختراق الأجهزة.
لذلك، فإن تأمين أجهزة التوجيه قبل إطلاق ثغرات إثبات المفهوم وإساءة استخدامها في الهجمات أمر حيوي.