多个D-Link路由器发现很容易受到攻击

根据漏洞管理和威胁评估专业专业防范，已经发现通过网络硬件供应商D-Link制造的多种无线路由器通过远程可利用的根命令注入漏洞发现。

数字防御的漏洞研究团队（VRT）发现了四个D-Link产品，DSR-150，DSR-250，DSR-500和DSR-1000AC VPN路由器运行固件版本3.14和3.17中以前未披露的错误。

虽然在中小型企业（中小企业）首先投放，但受影响的设备通常销售在消费者网站和电子商务网站上。鉴于大流行期间遥控工作的增加，数字防守表示，许多人可以使用其中一个受影响的设备连接到公司网络中。

可以在无需身份验证的情况下访问设备中的易受攻击的组件，并且可以通过WAN和LAN接口在Internet上进行可利用。因此，研究人员表示，一个遥控器的未经身份验证的攻击者可以访问路由器的Web界面可以像root那样执行任意命令，给他们控制路由器。

此步骤实现，攻击者可以拦截或修改网络流量，导致拒绝服务条件，并启动对其他资产的攻击 - 一些受影响的设备能够一次连接到15个设备。

迈克棉花工程高级副总裁Digital Defenge表示：“我们的标准做法是在协调披露努力中与组织合作，以促进对脆弱性的迅速解决。

“数字防御VRT达到D-Link，努力工作在补丁上。他补充说，我们将继续向客户致力于以确保他们意识到并能够采取行动，以减轻漏洞引入的任何潜在风险。“

D-Link表示，它已承认报告，该报告首先于2020年8月首次对此作出，而且它们的补丁将在12月中旬提供。

该公司拒绝认识到另一个漏洞，同时报告，因为理论攻击者需要工程师进入访问设备的访问方式，以便在修补修补的固件可用后使其成为低威胁。