พบช่องโหว่ร้ายแรงสามารถเข้าควบคุมเราเตอร์ D-Link ได้และยังไร้วี่แววแพตช์

นักวิจัยจากมหาวิทยาลัย Silesian ในโปแลนด์ได้พบช่องโหว่หลายรายการซึ่งส่งผลกระทบกับเราเตอร์ D-Link หลายรุ่นประกอบด้วย DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 และ DWR-921 โดยช่องโหว่ร้ายแรงสามารถทำให้แฮ็กเกอร์เข้าควบคุมอุปกรณ์ได้เลยทีเดียว

ช่องโหว่ร้ายแรงมีดังนี้

  • CVE-2018-10822 หรือช่องโหว่ Directory Traversal คือผู้โจมตีจากทางไกลสามารถเข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ ซึ่งก่อนหน้านี้ช่องโหว่เคยถูกรายงานมาแล้วด้วยหมายเลข CVE-2017-6190 แต่ทางผู้ผลิตสอบตกในการแก้ไขช่องโหว่ที่เกิดขึ้นบนผลิตภัณฑ์ของตนหลายรุ่น
  • CVE-2018-10824 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์เก็บรหัสผ่านของ Admin ที่ไม่ได้เข้ารหัส อย่างไรก็ตามนักวิจัยไม่ได้เผยที่ตั้งไฟล์เพราะกลัวจะเป็นการชี้ช่องทาง
  • CVE-2018-10823 เป็นช่องโหว่ที่ทำให้เกิดการรันคำสั่งและเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ (สามารถติดตามวีดีโอสาธิตทั้ง 3 ช่องโหว่นี้ได้ตามด้านล่าง)

แม้ว่าทางบริษัทผู้ผลิตจะได้รับการแจ้งเตือนช่องโหว่ต่างๆ เข้าไปตั้งแต่เดือนพฤษภาคมและยังให้สัญญาว่าจะออกแพตช์สำหรับเราเตอร์รุ่น DWR-116 และ DWR-111 พร้อมแจ้งเตือนไปยังผลิตภัณฑ์ที่ตกรุ่น ซึ่งจนถึงขณะนี้ทาง D-Link ก็ยังไม่มีแพตช์ใดๆ ออกมาจนทำให้นักวิจัยตัดสินใจเผยรายละเอียดต่อสาธารณะ สำหรับผู้ใช้งานที่ได้รับผลกระทบตอนนี้ควรไปตั้งค่าปิดการเข้าถึงเราเตอร์ผ่านอินเทอร์เน็ต

ที่มา : https://www.securityweek.com/critical-vulnerabilities-allow-takeover-d-link-routers


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้