圖片來源: 

YouTube/sploit.tech

來自波蘭西里西亞技術大學(Silesian University of Technology)的研究人員Błażej Adamczyk在近日揭露了影響8款D-Link路由器的3個漏洞,同時釋出相關漏洞的概念性驗證攻擊程式以及展示影片,不過,D-Link只承諾將修補了被這批漏洞所波及的2款產品,因為其它6款產品的生命周期已經結束。

 

Adamczyk所發現的3個漏洞分別為CVE-2018-10822、CVE-2018-10824與CVE-2018-10823,其中的CVE-2018-10822屬於目錄穿越(Directory Traversal)漏洞,允許駭客進入存放管理憑證的文件夾,CVE-2018-10824漏洞則是以明文存放管理員密碼,CVE-2018-10823是個Shell命令注入漏洞,讓已通過身分驗證的駭客得以在裝置上執行任意程式,結合這3個漏洞即可讓Adamczyk完全掌控所入侵的路由器。

這些漏洞影響了D-Link主打SOHO族群的8款DWR系列產品,涵蓋DWR-111、DWR-116、DWR-140、DWR-512、DWR-640、DWR-712、DWR-912與DWR-921,不過D-Link只承諾要修補DWR-111與DWR-116。

Adamczyk表示,要針對上述漏洞執行攻擊非常地容易,駭客只要能穿越目錄就能輕易取得路由器的存取權,進而執行任意程式。

Adamczyk是在今年5月通知D-Link,隔月D-Link回應將修補DWR-111與DWR-116,但其它裝置的生命周期已經結束,會再另行公告,但一直到9月Adamczyk都沒有看到修補程式或公告,才在近日公布了漏洞細節。


Advertisement

更多 iThome相關內容