D-Link nie załata krytycznej luki routerów. Nie są już wspierane

D-Link nie załata krytycznej luki routerów. Nie są już wspierane07.10.2019 14:30
D-Link nie załata krytycznej luki routerów. Nie są już wspierane

W oprogramowaniu niektórych routerów D-Link znaleziona została krytyczna luka, pozwalająca na zdalne wykonanie szkodliwego kodu. Informacje o niej zostały już podane do wiadomości publicznej. D-Link jednak nie będzie łatał tej dziury, gdyż wsparcie dla routerów zostało już zakończone. Czy to dobra decyzja?

Szczegóły luki są dostępne publicznie

Luka CVE-2019-16920 została odkryta we wrześniu przez specjalistów w grupy FortiGuard Labs, działające w szeregach firmy Fortinet. Routery z linii DIR-655, DIR-866L, DIR-652 i DHP-1565 są podatne na wstrzyknięcie szkodliwego polecenia. W konsekwencji atakujący może przejąć kontrolę nad oprogramowaniem routera.

Atakujący musi mieć dostęp do interfejsu logowania do ustawień routera. Bez względu na to, czy mu się uda, czy nie, może wstrzyknąć swój kod do komunikacji z routerem (konkretnie do zapytania POST HTTP). Z tego miejsca ma dwie możliwości – zainstalować sobie furtkę (backdoor) do dalszych działań lub od razu wydobyć dane logowania administratora.

D-Link został powiadomiony o istnieniu luki 22 września. W ciągu doby potwierdził, że atak rzeczywiście jest możliwy. Trzy dni później zapadła decyzja, że luka nie będzie łatana w tych routerach, gdyż ich wsparcie techniczne dobiegło końca.

Ile czasu trwa wsparcie routerów D-Link?

Podatne routery nie należą do najnowszych. Weźmy na przykład router D-Link N300 (DIR-655). Jego recenzje pojawiały się w sieci w 2010 roku. Na stronie producenta zobaczymy informację, że od 2017 roku nie jest sprzedawany, a wsparcie techniczne skończyło się w 2018 roku – po 8 latach.

– Routery są objęte standardową 2-letnią gwarancją, ale czas wsparcia jest dużo dłuższy. Zwykle jest to 5 lat po zakończeniu produkcji – powiedział mi Piotr Perka, reprezentujący firmę D-Link w Polsce. – Do tego ataku trzeba mieć dostęp z zewnątrz do logowania do routera, a ta funkcja jest w routerach D-Link domyślnie wyłączona. Jeśli ktoś jej sobie przypadkiem nie włączył, nie ma zagrożenia – uspokaja.

Ile jest takich routerów w Polsce?

Wygląda więc na to, że o wymianie routera powinniśmy myśleć co około 8 lat, ale dobrze wiemy, że tak nie jest. W wielu domach sprzęt działa dużo dłużej, bo przecież działa, a działającego routera się nie wyrzuca. Z punktu widzenia ochrony środowiska pochwalam to podejście.

Ile jest takich routerów w Polsce? Myślę, że bardzo dużo. Reprezentant firmy D-Link nie dysponuje takimi danymi, więc nie wiemy na pewno, czy jest to bliżej 100 tysięcy, czy miliona routerów, ale na pewno nie są to pojedyncze sztuki. Pytanie brzmi raczej: ile z nich ma włączone logowanie z zewnątrz?

D-Link zapracował sobie ostatnio na kiepską opinię w zakresie bezpieczeństwa, ale obiecał poprawę. Firma wdraża nowe procedury, dzięki którym routery i kamery IP będą bezpieczniejsze.

Za brak poprawki dla 9-letniego routera nie będę winić producenta. Życie routera zostało zakończone i może nie być łatwej drogi, by go aktualizować. Mam za to nadzieję, że nowe sprzęty będą miały dłuższy okres wsparcia. Dotyczy to tak samo smartfonów, routerów, jak i piekarników.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na