Кража паролей и изменение настроек: новые ошибки D-Link попали в каталог CISA

Агентство CISA добавило две новые уязвимости роутеров D-Link в свой каталог KEV на основании доказательств их активной эксплуатации.

• CSRF-уязвимость CVE-2014-100005 затрагивает роутеры D-Link DIR-600 и позволяет злоумышленнику изменить конфигурации роутера, захватив существующую сессию администратора.
• Уязвимость раскрытия информации CVE-2021-40655 влияет на роутеры D-Link DIR-605. Позволяет получить имя пользователя и пароль путем подделки HTTP-запроса POST к странице /getcfg.php.

На данный момент нет подробностей о том, как эти уязвимости используются в реальных условиях, но федеральные агентства получили указание принять предложенные D-Link меры по смягчению последствий до 6 июня 2024 года.

Важно отметить, что уязвимость CVE-2014-100005 касается устаревших продуктов D-Link, которые уже достигли конца своего жизненного цикла. Организациям, продолжающим использовать такие устройства, настоятельно рекомендуется заменить их новыми моделями.

Событие происходит на фоне новости о том, что специалисты SSD Secure Disclosure обнаружили уязвимости в маршрутизаторе D-Link EXO AX4800 (DIR-X4860), которые позволяют захватить полный контроль над устройством. Аналитики SSD предоставили пошаговые инструкции по эксплуатации обнаруженных уязвимостей, сделав доказательство концепции (Proof-of-Concept, PoC) общедоступным.