D-Link ประกาศไม่ออกแพตช์ความปลอดภัยให้โมเด็มรุ่นเก่าจำนวน 60,000 เครื่อง

 (techradar.com)
1 คะแนน โดย GN⁺ 2024-11-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • ช่องโหว่ที่นักวิจัยด้านความปลอดภัยค้นพบ

    • พบช่องโหว่ความปลอดภัยร้ายแรงในโมเด็ม D-Link รุ่นเก่า
    • D-Link แนะนำให้อัปเกรดฮาร์ดแวร์แทนการออกแพตช์แก้ไขช่องโหว่เหล่านี้
    • มีอุปกรณ์ที่มีช่องโหว่ประมาณ 60,000 เครื่อง โดยส่วนใหญ่อยู่ในไต้หวัน

  • การตอบสนองของ D-Link

    • D-Link ตัดสินใจว่าจะไม่ออกแพตช์ให้กับอุปกรณ์ที่เข้าสู่สถานะ EoL (End of Life) แล้ว
    • ผู้ใช้ได้รับคำแนะนำให้เปลี่ยนไปใช้รุ่นใหม่
    • มีการพบช่องโหว่ลักษณะคล้ายกันในอุปกรณ์ D-Link NAS เช่นกัน แต่ก็จะไม่มีการออกแพตช์ให้เช่นเดียวกัน

  • รายละเอียดช่องโหว่ที่พบ

    • CVE-2024-11068: ช่องโหว่ที่สามารถเปลี่ยนรหัสผ่านได้ผ่านการเข้าถึง API ระดับความร้ายแรง 9.8
    • CVE-2024-11067: ช่องโหว่ path traversal ระดับความร้ายแรง 7.5
    • CVE-2024-11066: ช่องโหว่ remote code execution ระดับความร้ายแรง 7.2

  • คำแนะนำเพิ่มเติม

    • หากยังไม่สามารถเปลี่ยนเราเตอร์ได้ทันที แนะนำให้จำกัดการเข้าถึงจากระยะไกลและตั้งรหัสผ่านที่ปลอดภัย
    • เราเตอร์เป็นหนึ่งในเอนด์พอยต์ที่ถูกโจมตีมากที่สุด

  • ข้อมูลอื่น ๆ

    • D-Link แนะนำให้ปลดระวางและเปลี่ยนอุปกรณ์ที่ถึงสถานะ EOL/EOS แล้ว
    • ศูนย์คอมพิวเตอร์และตอบสนองแห่งไต้หวัน (TWCERTCC) ยังพบช่องโหว่ command injection เพิ่มเติมอีก 4 รายการ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-11-28
ความเห็นจาก Hacker News

  • แนะนำบทความเกี่ยวกับการที่ไม่มีแพตช์ความปลอดภัยสำหรับโมเด็มรุ่นเก่าของ D-Link

    • D-Link มีประวัติในการออกอุปกรณ์ที่มีช่องโหว่ด้านความปลอดภัย จึงควรซื้อผลิตภัณฑ์อื่นจะดีกว่า

  • EU Product Liability Directive กำหนดให้ต้องมีการอัปเดตเพื่อรักษาความปลอดภัยของผลิตภัณฑ์

    • ในเยอรมนีมีความคาดหวังว่าผลิตภัณฑ์และแอปที่เกี่ยวข้องควรได้รับการอัปเดตโดยเฉลี่ย 5 ปี

  • แนะนำ Ubiquiti (Unifi) และ OpenWRT สำหรับผู้ที่มองหาผลิตภัณฑ์ที่รองรับระยะยาว

    • อุปกรณ์ที่รองรับ OpenWRT มีราคาถูกและมีแนวโน้มว่าจะได้รับการสนับสนุนในระยะยาว

  • ไม่ใช่แค่คำมั่นเรื่องการรองรับของผลิตภัณฑ์เท่านั้น แต่คุณภาพซอฟต์แวร์ของบริษัทก็สำคัญเช่นกัน

  • แชร์ประสบการณ์ที่เคยพยายามวิเคราะห์ช่องโหว่ของเราเตอร์ Wi‑Fi รุ่นเก่าและเผยแพร่ลงบล็อก

    • ผู้ผลิตหยุดอัปเดต ทำให้ต้องซื้ออุปกรณ์ใหม่

  • เคยใช้ Ubiquiti Edge Router แต่ในระยะยาวไม่ค่อยพอใจนัก

    • ซื้อกล่อง Protectli มาแฟลช coreboot และใช้ pfSense ก่อนจะย้ายไป OPNSense

  • อุปกรณ์เครือข่ายสำหรับผู้บริโภคมีความเปราะบางด้านความปลอดภัย และคนที่ให้ความสำคัญกับความปลอดภัยไม่ควรใช้

  • แนะนำให้แฟลช OpenWRT ลงบนฮาร์ดแวร์เก่า

    • ควรซื้อฮาร์ดแวร์ที่สามารถรัน pfSense หรือ OPNSense ได้

  • อธิบายเบื้องหลังของบั๊กที่เกี่ยวข้องกับการยุติผลิตภัณฑ์ของ D-Link

    • แนะนำวิธีใช้งาน OpenWRT

  • วิจารณ์คะแนน CVSS

    • คะแนน CVE ไม่มีประโยชน์มากนักในการประเมินผลกระทบที่แท้จริงของช่องโหว่ด้านความปลอดภัย

  • น่าเสียดายที่ UI ของเราเตอร์ MikroTik ไม่เหมาะกับผู้ใช้ที่ไม่ใช่มืออาชีพ

    • แม้จะราคาถูกและได้รับการสนับสนุนระยะยาว แต่ UI ก็ใช้งานยากสำหรับผู้ใช้ทั่วไป