D-Link заявила о неисправленных уязвимостях в роутерах DIR-846W

D-Link предупреждает, что четыре уязвимости удалённого выполнения кода (RCE) во всех версиях оборудования и прошивки маршрутизатора DIR-846W не будут исправлены, поскольку эти продукты больше не поддерживаются.

Четыре уязвимости RCE, три из которых оценены как критические и не требуют аутентификации, были обнаружены исследователем безопасности yali-1002, который опубликовал минимальные подробности в своем репозитории GitHub.

Исследователь разместил информацию 27 августа, но пока воздержался от публикации эксплойтов для проверки концепции (PoC).

D-Link предупредила о следующих уязвимостях:

CVE-2024-41622: удалённое выполнение команд (RCE) через параметр tomography_ping_address в интерфейсе /HNAP1/ (оценка 9,8 «критическая»);

CVE-2024-44340: RCE через параметры smartqos_express_devices и smartqos_normal_devices в SetSmartQoSSettings (требование аутентифицированного доступа снижает оценку до 8,8);

CVE-2024-44341: RCE через параметр lan(0)_dhcps_staticlist, эксплуатируемая с помощью специально созданного запроса POST (оценка 9,8 «критическая»);

CVE-2024-44342: RCE через параметр wl(0).(0)_ssid. (оценка 9,8 «критическая»).

D-Link не будет выпускать никаких обновлений безопасности для их устранения. «В качестве общей политики, когда продукты достигают EOS/EOL, они больше не могут поддерживаться, и вся разработка прошивок для них прекращается», — пояснила компания.

«D-Link настоятельно рекомендует снять этот продукт с производства и предупреждает, что любое его дальнейшее использование может представлять риск для подключённых к нему устройств», — добавляет производитель.

Отмечается, что маршрутизаторы DIR-846W продавались в основном за пределами США, но модель по-прежнему популярна на некоторых рынках, включая Латинскую Америку.

Поддержка