Производитель сетевого оборудования D-Link выпустил хотфикс, устраняющий множество уязвимостей в беспроводных маршрутизаторах DIR-3040. Атакующие могут запустить вредоносный код с помощью этих багов, а также получить доступ к конфиденциальной информации и даже привести к сбою в работе роутеров.
Общее количество пропатченных уязвимостей, обнаруженных экспертами Cisco Talos, — четыре. Список CVE-идентификаторов выглядит следующим образом:
- CVE-2021-21816 — возможность раскрытия информации в Syslog;
- CVE-2021-21817 — раскрытие информации, затрагивающее Zebra IP Routing Manager;
- CVE-2021-21818 — жёстко заданные в коде пароли в Zebra IP Routing Manager;
- CVE-2021-21819 – возможность внедрения команды в Libcli;
- CVE-2021-21820 – жёстко закодированные пароли в Libcli Test Environment.
Брешь CVE-2021-21820 можно использовать в атаке, отправляя уязвимому устройству специально созданные запросы. В отчёте Cisco Talos рекомендуется установить патч с версией v1.13B03 (ZIP).
При этом стоит учитывать, что баги с жёстко запрограммированными паролями имеют довольно высокие баллы по шкале CVSS. CVE-2021-21820 — 10 баллов, CVE-2021-21818 — 7,5 баллов.
Помимо этого, команда Cisco Talos также нашла возможность выполнения кода в функциональности Libcli Test Environment, затрагивающую D-LINK DIR-3040 1.13B03. Всем рекомендуется срочно установить версию прошивки 1.13B03.
