Компания D-Link сообщила, что четыре уязвимости удаленного выполнения кода (RCE), затрагивающие все версии маршрутизаторов DIR-846W, не будут устранены, поскольку срок поддержки этих устройств уже истек.
RCE-уязвимости, три из которых имеют статус критических и не требуют аутентификации, были обнаружены ИБ-исследователем под псевдонимом yali-1002, который опубликовал минимальные сведения об этих проблемах 27 августа 2024 года в своем GitHub-репозитории. От публикации proof-of-concept эксплоитов специалист воздержался.
Краткое описание багов выглядит следующим образом:
- CVE-2024-41622 — уязвимость удаленного выполнения команд через параметр tomography_ping_address в интерфейсе /HNAP1/ (9,8 балла по шкале CVSS);
- CVE-2024-44340 — RCE-уязвимость в параметрах smartqos_express_devices и smartqos_normal_devices в SetSmartQoSSettings, требующая аутентификации (8,8 балла по шкале CVSS);
- CVE-2024-44341 — RCE через параметр lan(0)_dhcps_staticlist, которую можно использовать через модифицированный POST-запрос (9,8 балла по шкале CVSS);
- CVE-2024-44342 — RCE через параметр wl(0).(0)_ssid (9,8 балла по шкале CVSS).
Хотя представители D-Link признали наличие проблем и их серьезность, в компании сообщили, что срок поддержки устройств истек в 2020 году, а значит, обновлений для устранения этих багов можно не ждать.
«D-Link настоятельно рекомендует прекратить использование данного продукта и предупреждает, что любое дальнейшее использование может представлять опасность для подключенных к нему устройств», — предупреждает производитель в своем бюллетене безопасности.
Стоит отметить, что маршрутизаторы DIR-846W в основном продавались за пределами США, и эта модель все еще доступна на некоторых рынках, включая страны Латинской Америки.
