Fallas críticas afectan a los enrutadores VPN de D-Link

Se ha descubierto que algunos modelos de enrutadores VPN D-Link ampliamente vendidos son vulnerables a tres nuevas vulnerabilidades de seguridad de alto riesgo, lo que deja millones de redes domésticas y comerciales abiertas a ataques cibernéticos, incluso si están protegidas con una contraseña segura.

Descubiertas por investigadores de Digital Defense, las tres deficiencias de seguridad se revelaron responsablemente a D-Link el 11 de agosto, lo que, si se explota, podría permitir a atacantes remotos ejecutar comandos arbitrarios en dispositivos de red vulnerables a través de solicitudes especialmente diseñadas e incluso lanzar denegación de -Ataques de servicio.

D-Link DSR-150, DSR-250, DSR-500 y DSR-1000AC y otros modelos de enrutadores VPN de la familia DSR que ejecutan la versión de firmware 3.14 y 3.17 son vulnerables a la falla de inyección de comando raíz explotable de forma remota.

El fabricante taiwanés de equipos de red confirmó los problemas en un aviso el 1 de diciembre, y agregó que los parches estaban en desarrollo para dos de los tres defectos, que ahora se han lanzado al público en el momento de escribir este artículo.

«Desde las interfaces WAN y LAN, esta vulnerabilidad podría explotarse a través de Internet», dijo Digital Defense en un informe.

«En consecuencia, un atacante remoto no autenticado con acceso a la interfaz web del enrutador podría ejecutar comandos arbitrarios como root, obteniendo efectivamente el control completo del enrutador».

Las fallas provienen del hecho de que el componente vulnerable, el «Lua CGI», es accesible sin autenticación y carece de filtrado del lado del servidor, lo que hace posible que un atacante, autenticado o no, inyecte comandos maliciosos que se ejecutarán con root. privilegios.

Una vulnerabilidad separada reportada por Digital Defense se refiere a la modificación del archivo de configuración del enrutador para inyectar entradas CRON no autorizadas y ejecutar comandos arbitrarios como usuario raíz.

Sin embargo, D-Link dijo que no corregirá este defecto «en esta generación de productos», afirmando que esta es la función prevista.

«El dispositivo usa una configuración de texto sin formato, que es el diseño para editar y cargar directamente la configuración en los mismos dispositivos DSR en consecuencia», dijo la compañía.