D‑Link nie załata krytycznej luki routerów. Nie są już wspierane
W oprogramowaniu niektórych routerów D-Link znaleziona została krytyczna luka, pozwalająca na zdalne wykonanie szkodliwego kodu. Informacje o niej zostały już podane do wiadomości publicznej. D-Link jednak nie będzie łatał tej dziury, gdyż wsparcie dla routerów zostało już zakończone. Czy to dobra decyzja?
07.10.2019 | aktual.: 07.10.2019 14:53
Szczegóły luki są dostępne publicznie
Luka CVE-2019-16920 została odkryta we wrześniu przez specjalistów w grupy FortiGuard Labs, działające w szeregach firmy Fortinet. Routery z linii DIR-655, DIR-866L, DIR-652 i DHP-1565 są podatne na wstrzyknięcie szkodliwego polecenia. W konsekwencji atakujący może przejąć kontrolę nad oprogramowaniem routera.
Atakujący musi mieć dostęp do interfejsu logowania do ustawień routera. Bez względu na to, czy mu się uda, czy nie, może wstrzyknąć swój kod do komunikacji z routerem (konkretnie do zapytania POST HTTP). Z tego miejsca ma dwie możliwości – zainstalować sobie furtkę (backdoor) do dalszych działań lub od razu wydobyć dane logowania administratora.
D-Link został powiadomiony o istnieniu luki 22 września. W ciągu doby potwierdził, że atak rzeczywiście jest możliwy. Trzy dni później zapadła decyzja, że luka nie będzie łatana w tych routerach, gdyż ich wsparcie techniczne dobiegło końca.
Ile czasu trwa wsparcie routerów D-Link?
Podatne routery nie należą do najnowszych. Weźmy na przykład router D-Link N300 (DIR-655). Jego recenzje pojawiały się w sieci w 2010 roku. Na stronie producenta zobaczymy informację, że od 2017 roku nie jest sprzedawany, a wsparcie techniczne skończyło się w 2018 roku – po 8 latach.
– Routery są objęte standardową 2-letnią gwarancją, ale czas wsparcia jest dużo dłuższy. Zwykle jest to 5 lat po zakończeniu produkcji – powiedział mi Piotr Perka, reprezentujący firmę D-Link w Polsce. – Do tego ataku trzeba mieć dostęp z zewnątrz do logowania do routera, a ta funkcja jest w routerach D-Link domyślnie wyłączona. Jeśli ktoś jej sobie przypadkiem nie włączył, nie ma zagrożenia – uspokaja.
Ile jest takich routerów w Polsce?
Wygląda więc na to, że o wymianie routera powinniśmy myśleć co około 8 lat, ale dobrze wiemy, że tak nie jest. W wielu domach sprzęt działa dużo dłużej, bo przecież działa, a działającego routera się nie wyrzuca. Z punktu widzenia ochrony środowiska pochwalam to podejście.
Ile jest takich routerów w Polsce? Myślę, że bardzo dużo. Reprezentant firmy D-Link nie dysponuje takimi danymi, więc nie wiemy na pewno, czy jest to bliżej 100 tysięcy, czy miliona routerów, ale na pewno nie są to pojedyncze sztuki. Pytanie brzmi raczej: ile z nich ma włączone logowanie z zewnątrz?
D-Link zapracował sobie ostatnio na kiepską opinię w zakresie bezpieczeństwa, ale obiecał poprawę. Firma wdraża nowe procedury, dzięki którym routery i kamery IP będą bezpieczniejsze.
Za brak poprawki dla 9-letniego routera nie będę winić producenta. Życie routera zostało zakończone i może nie być łatwej drogi, by go aktualizować. Mam za to nadzieję, że nowe sprzęty będą miały dłuższy okres wsparcia. Dotyczy to tak samo smartfonów, routerów, jak i piekarników.