A D-Link está alertando os clientes para substituir os modelos de roteadores VPN que chegaram ao fim de vida (EOL) após a descoberta de uma vulnerabilidade crítica de execução remota de código não autenticada que não será corrigida nestes dispositivos.
A falha foi identificada e reportada à D-Link pelo pesquisador de segurança 'delsploit', mas os detalhes técnicos foram mantidos em sigilo para evitar tentativas de exploração em massa.
Essa vulnerabilidade, que ainda não possui um CVE atribuído, afeta todas as revisões de hardware e firmware dos modelos DSR-150 e DSR-150N, bem como os DSR-250 e DSR-250N desde a versão de firmware 3.13 até a 3.17B901C.
Esses roteadores VPN, amplamente utilizados em escritórios domésticos e pequenas empresas, foram comercializados internacionalmente e atingiram seu fim de suporte em 1º de maio de 2024.
A D-Link deixou claro no aviso que não lançará atualizações de segurança para esses quatro modelos, recomendando que os clientes substituam os dispositivos o mais rápido possível.
"Os modelos DSR-150, DSR-150N, DSR-250 e DSR-250N, em todas as suas versões de hardware e firmware, tiveram seu fim de vida e suporte a partir de 01/05/2024. Esta vulnerabilidade afeta esses roteadores legados da D-Link e todas as suas revisões de hardware, que já atingiram seu fim de vida [...]. Produtos que alcançaram seu EOL/EOS não recebem mais atualizações de software e patches de segurança e não são mais suportados pela D-Link US." - D-Link
O fabricante também observa que pode haver firmware de terceiros disponíveis para esses dispositivos, mas essa prática não é oficialmente apoiada ou recomendada pela D-Link, e o uso de tal software invalida qualquer garantia do produto.
"A D-Link recomenda fortemente a aposentadoria deste produto e alerta que qualquer uso contínuo deste pode representar um risco para os dispositivos conectados a ele," lê-se no comunicado.
"Se os consumidores dos EUA persistirem no uso desses dispositivos, contrariando a recomendação da D-Link, certifiquem-se de que o dispositivo esteja com o último firmware disponível, encontrável no site de produtos legados."
Os usuários podem baixar o firmware mais atual para esses dispositivos aqui:
É importante ressaltar que mesmo a versão mais recente do firmware disponível não protege o dispositivo contra a falha de execução remota de código encontrada por delsploit, e nenhuma correção oficial será lançada.
A resposta da D-Link está alinhada com a estratégia do fornecedor de hardware de rede de não fazer exceções para dispositivos EoL quando vulnerabilidades críticas são descobertas, independentemente de quantas pessoas ainda os utilizem.
"De tempos em tempos, a D-Link decide que alguns de seus produtos atingiram o Fim de Suporte ("EOS") / Fim de Vida (“EOL”)," explica a D-Link.
"A D-Link pode optar por EOL/EOS um produto devido à evolução tecnológica, demandas de mercado, novas inovações, eficiências de produto baseadas em novas tecnologias, ou porque o produto amadureceu ao longo do tempo e deve ser substituído por uma tecnologia funcionalmente superior."
No início deste mês, o pesquisador de segurança 'Netsecfish' divulgou detalhes sobre CVE-2024-10914, uma falha crítica de injeção de comando que afeta milhares de dispositivos NAS EoL da D-Link.
O fornecedor emitiu um aviso, mas não uma atualização de segurança, e na semana passada, o serviço de monitoramento de ameaças The Shadowserver Foundation reportou tentativas ativas de exploração.
Também na semana passada, o pesquisador de segurança Chaio-Lin Yu (Steven Meow) e o centro de resposta a incidentes de computação de Taiwan (TWCERTCC) divulgaram três vulnerabilidades perigosas, CVE-2024-11068, CVE-2024-11067 e CVE-2024-11066, que impactam o modem EoL D-Link DSL6740C. Apesar de varreduras na internet indicarem dezenas de milhares de pontos de extremidade expostos, a D-Link decidiu não abordar o risco.
Via - BC
Comments