D-Link 路由器被曝远程代码执行漏洞，厂商不打算修复

Charlie Osborne 代码卫士 2022-04-06

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

上周，Fortinet 公司的 FortiGuard 实验室研究人员在今年9月发现，一系列 D-Link 路由器中存在一个严重的远程代码执行 (RCE) 漏洞 CVE-2019-16920。

研究员 Thanh Nguyen 表示，这个未经认证的命令注入漏洞影响 DIR-655、DIR-866L、DIR-652和 DHP-1565 产品线的 D-Link 固件。

攻击者向“PingTest”网关接口发送任意输入时，就会触发这个 RCE 漏洞，从而导致命令注入和完整的数据攻陷后果。它的 CVSS v3.1 评分是9.8分，CVSS v2.0 的评分是10.0分。

要触发该漏洞，Fortinet 表示攻击者可以远程执行登录动作，而该动作的认证不良。这种不良认证检查导致不管用户是否具有权限都会引发代码执行，对于通过 PingTest 发送 POST HTTP 请求如此，或使得攻击者获取管理员权限或安装后门。

9月22日，研究员将发现成果告知 D-Link，后者在不到24小时的时间里予以确认。3天后，D-Link 表示由于这些产品正处于生命周期结束支持阶段，因此将不予修复。

鉴于这些路由器存在的时间较长，因此 D-Link 不打算打补丁的做法也不令人惊讶。设备及其固件都具有有效期，最终支持将会终止，因此这些路由器的用户应当考虑更换年久产品，缓解利用风险。

然而，并非 D-Link 给出的所有安全相关决策都是合理的。近期，D-Link 被报道称和美国联邦贸易委员会达成和解，就D-Link 未能追踪漏洞报告和错误表明产品安全性的起诉达成和解。D-Link 将为路由器和互联网产品创建一种新的安全计划，而且也将在未来十年提交产品供安全审计。

具体技术详情，请见：

https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html

推荐阅读

“代码卫士”协助 D-LINK 修复多个高危漏洞，获官方致谢

原文链接

https://www.zdnet.com/article/d-link-routers-contain-remote-code-execution-vulnerability/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。