8月27日資安研究人員yali-10012透露,D-Link旗下路由器設備DIR-846W存在4個嚴重的RCE漏洞,而且其中3個可在未經身分驗證的情況下利用,9月1日D-Link發布資安公告證實確有此事,但因為這款設備已於2020年終止支援(EOS),他們不會進行修補,呼籲用戶應停止使用。
這些漏洞是:CVE-2024-41622、CVE-2024-44340、CVE-2024-44341,以及CVE-2024-44342,CVSS風險評分介於8.8至9.8,其中,僅有風險較低的CVE-2024-44340,攻擊者必須先通過身分驗證才能利用,其餘能夠在未經身分驗證就能觸發的漏洞,美國國家漏洞資料庫(NVD)皆將其風險評為9.8分。
值得留意的是,已停止支援的D-Link設備漏洞,今年出現數起攻擊行動,4月有研究人員發現NAS設備漏洞CVE-2024-3273,隨後就有嘗試利用的跡象;5月傳出無線路由器DIR-645遭到大規模攻擊,過程中駭客利用已知漏洞CVE-2015-2051。
熱門新聞
2024-11-20
2024-12-06
2024-12-03
2024-11-15
Advertisement