D-Link จะไม่แก้ไขช่องโหว่สำคัญในโมเด็ม EoL 60,000 ตัวที่ถูกตรวจพบ

เราเตอร์ D-Link จำนวนหลายหมื่นตัวที่ถูกตรวจพบช่องโหว่ ถึงช่วงสิ้นสุดการให้บริการสนับสนุนนั้นมีความเสี่ยงต่อปัญหาความปลอดภัยที่สำคัญ ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองสามารถเปลี่ยนรหัสผ่านของผู้ใช้คนใดก็ได้และเข้าควบคุมอุปกรณ์ได้ทั้งหมด   นักวิจัยด้านความปลอดภัย Chaio-Lin Yu (Steven Meow) เป็นผู้ค้นพบช่องโหว่ในโมเด็ม D-Link DSL6740C และได้รายงานช่องโหว่ดังกล่าวไปยัง Taiwan’s computer and response center (TWCERTCC) เป็นที่น่าสังเกตก็คือ อุปกรณ์ดังกล่าวไม่มีจำหน่ายในสหรัฐอเมริกาและเข้าสู่ช่วงสิ้นสุดการให้บริการ (EoS) เมื่อต้นปีที่ผ่านมา   คำแนะนำวันนี้ D-Link ประกาศว่าจะไม่แก้ไขปัญหาดังกล่าวและแนะนำให้ “เลิกใช้และเปลี่ยนอุปกรณ์ D-Link ที่ถึง EOL/EOS” Chaio-Lin Yu รายงานช่องโหว่อีกสองรายการต่อ TWCERTCC ได้แก่ การใส่คำสั่ง OS และปัญหา Path Traversal ปัญหาข้อบกพร่องสามรายการสรุปได้ดังนี้: CVE-2024-11068: ข้อบกพร่องที่ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถแก้ไขรหัสผ่านของผู้ใช้รายใดก็ได้ผ่านการเข้าถึง API ที่มีสิทธิพิเศษ ซึ่งทำให้ผู้ใช้สามารถเข้าถึงบริการเว็บ SSH และ Telnet ของโมเด็มได้ (CVSS v3…