În schimb, oferă o reducere de 20% la un model mai nou
Un cartof fierbinte: D-Link recomandă insistent utilizatorilor routerelor sale VPN mai vechi să înlocuiască dispozitivele după descoperirea unei vulnerabilități grave de execuție a codului de la distanță (RCE). Deoarece modelele au ajuns la sfârșitul duratei de viață și la sfârșitul duratei de asistență, acestea nu vor fi patch-uri pentru a se proteja împotriva defectului.
Vulnerabilitatea, raportată către D-Link de către cercetătorul de securitate „delsploit”, nu i s-a atribuit un identificator CVE. Nici detaliile tehnice nu au fost dezvăluite, oferind clienților timp să reacționeze înainte ca infractorii cibernetici să înceapă să încerce să le exploateze. Știm că este o vulnerabilitate de depășire a bufferului de stivă, care permite utilizatorilor neautentificați să execute execuția codului de la distanță.
Toate versiunile hardware și versiunile de firmware ale următoarelor dispozitive au fost afectate:
- DSR-150 (EOL mai 2024)
- DSR-150N (EOL mai 2024)
- DSR-250 (EOL mai 2024)
- DSR-250N (EOL mai 2024)
- DSR-500N (EOL septembrie 2015)
- DSR-1000N (EOL octombrie 2015)
D-Link subliniază că nu va lansa patch-uri pentru cele patru modele afectate, deoarece toate au atins EOL sau EOS, majoritatea în mai 2024 și câteva în 2015. Compania scrie că politica sa generală este ca atunci când produsele ajung la EOS /EOL, acestea nu mai pot fi acceptate și toată dezvoltarea firmware-ului pentru aceste produse încetează.
D-Link recomandă insistent proprietarilor acestor routere să facă upgrade la un model mai nou, deoarece orice utilizare ulterioară poate reprezenta un risc pentru dispozitivele conectate la acesta.
Compania încearcă să-i liniștească pe cei care ar putea fi enervați de acest lucru, oferind o reducere de 20% la un nou router de serviciu (DSR-250v2), care nu este afectat de vulnerabilitate.
D-Link observă, de asemenea, că, deși firmware-ul deschis de la terți este disponibil pentru multe dintre dispozitivele afectate, utilizarea acestuia anulează garanția și este responsabilitatea exclusivă a proprietarului dispozitivului.
Este pentru a doua oară într-o lună când D-Link confirmă că nu va corecta dispozitivele cu risc care și-au atins starea de sfârșit de viață/încheierea serviciului. Firma taiwaneză le-a recomandat proprietarilor dispozitivelor sale NAS întrerupte să treacă la modele mai noi, deoarece acestea nu vor fi patchizate pentru a se proteja împotriva unei erori critice de injectare a comenzii.
În 2022, Cybersecurity & Infrastructure Security Agency (CISA) a sfătuit consumatorii să înlocuiască routerele D-Link cu o vulnerabilitate RCE, deoarece dispozitivele ajunseseră la sfârșitul duratei de viață și nu vor mai primi patch-uri.