Puluhan ribu router D-Link yang sudah habis masa pakainya rentan terhadap masalah keamanan kritis yang memungkinkan penyerang jarak jauh yang tidak sah mengubah kata sandi pengguna dan mengambil kendali penuh atas perangkat.
Kerentanan pada modem D-Link DSL6740C ditemukan oleh peneliti keamanan Chaio-Lin Yu (Steven Meow), yang melaporkannya ke Taiwan Computer and Response Center (TVCERTCC).
Perlu dicatat bahwa perangkat tersebut tidak tersedia di AS dan mencapai Akhir Layanan (EoS) pada awal tahun.
Dalam peringatan hari ini, D-Link mengumumkan bahwa mereka tidak akan mengatasi masalah ini dan merekomendasikan “penarikan kembali dan penggantian perangkat D-Link yang telah mencapai EOL/EOS.”
Chaio-Lin Yu melaporkan dua kerentanan lagi pada TVCERTCC, injeksi perintah OS dan masalah traversal jalur:
Ketiga masalah cacat tersebut dirangkum sebagai berikut:
CVE-2024-11068: Cacat yang memungkinkan penyerang tidak sah mengubah kata sandi pengguna mana pun melalui akses API istimewa, memungkinkan mereka mengakses layanan web, SSH, dan Telnet modem. (Skor CVSS v3: 9,8 “kritis”). CVE-2024-11067: Kerentanan traversal jalur yang memungkinkan penyerang yang tidak diautentikasi membaca file sistem sewenang-wenang, mengambil alamat MAC perangkat, dan mencoba masuk menggunakan kredensial default. (Skor CVSS v3: 7,5 “tinggi”) CVE-2024-11066: Cacat yang memungkinkan penyerang dengan hak administratif untuk menjalankan perintah sewenang-wenang pada sistem operasi host melalui halaman web tertentu. (Skor CVSS v3: 7,2 “Tinggi”)
Pencarian cepat di mesin pencari FOFA untuk perangkat dan perangkat lunak yang terekspos secara publik menunjukkan bahwa terdapat hampir 60.000 modem D-Link DSL6740C yang tersedia online, sebagian besar di Taiwan.
Hasil scan FOFA Sumber: BleepingComputer
TVCERTCC telah mengeluarkan peringatan untuk empat kerentanan injeksi perintah OS dengan tingkat keparahan tinggi yang memengaruhi perangkat D-Link yang sama. Bug dilacak sebagai CVE-2024-11062, CVE-2024-11063, CVE-2024-11064, dan CVE-2024-11065.
Meskipun jumlah perangkat rentan yang terekspos di web publik cukup signifikan, D-Link telah memperjelas di masa lalu (1, 2) bahwa perangkat yang sudah habis masa pakainya (EoL) tidak tercakup dalam pembaruan, meskipun terdapat bug kritis. khawatir.
Jika pengguna tidak dapat mengganti perangkat yang terpengaruh dengan varian yang masih didukung oleh vendor, mereka setidaknya harus membatasi akses jarak jauh dan menetapkan kata sandi untuk akses yang aman.
unity software
unity software information
software information
Informasi mengenai king slot
king selot
king slot
king slot
kingselot
pg king slot