四款D-Link路由器爆远程执行代码漏洞，且不可修复

LYA 看雪学院 2021-03-13

据外媒报道，四款D-Link路由器中存在严重的远程执行代码漏洞。

受影响设备

该漏洞名为CVE-2019-16920，影响DIR-655、DIR866L、DIR-652和DHP-1565四款系列产品的D-link固件，这几款路由器在市场上十分常见。

该漏洞允许攻击者远程执行代码，且无需经过身份验证。黑客可以通过PingTest网关接口发布POSTHTTP请求，从而获得设备的管理员凭据，或在设备中安装后门。

这一系列操作使攻击者能够安装恶意软件，对路由器进行监听或者通过网络感染其他设备。

该漏洞无法修复

早在今年9月，研究人员发现D-link路由器中存在可能泄露设备密码的漏洞，而这次的这个漏洞将无法得到修复。

硬件供应商确认了此漏洞，但他们表示这一系列的产品的生命周期已经结束，因此不会再对其提供补丁和相关支持。

但是仍有不少家庭用户依然在使用这几款路由器，随着使用年限的增多，并且逐渐接近停止支持的日期，这些家庭用户应该考虑更换过时的产品，以降低被攻击的风险。

*本文由看雪编辑 LYA 编译自 Threat Post ，转载请注明来源及作者。