Тази седмица D-Link издаде предупреждение за уязвимост с отдалечено изпълнение на код (RCE), засягаща шест модела рутери (маршрутизатори), чието производство е преустановено.

Проблемът, който няма идентификатор CVE, се описва като препълване на буфера, което може да бъде използвано от отдалечени, неавтентифицирани атакуващи за изпълнение на произволен код на уязвимите продукти.

Според D-Link всички хардуерни ревизии на моделите маршрутизатори DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N и DSR-1000N са засегнати от този дефект в сигурността и за тях няма да бъде пусната кръпка.

„Този експлойт засяга този наследен маршрутизатор на D-Link и всички ревизии на хардуера, които са достигнали края на жизнения си цикъл (EOL)/края на експлоатационния си живот (EOS). Продуктите, които са достигнали своя EOL/EOS, вече не получават актуализации на софтуера на устройството и пачове за сигурност и вече не се поддържат“, отбелязва D-Link в своята консултация.

Маршрутизаторите DSR-150, DSR-150N, DSR-250 и DSR-250N бяха спрени от производство на 1 май тази година, а маршрутизаторите DSR-500N и DSR-1000N бяха спрени от производство преди девет години.

Компанията препоръчва на потребителите на тези устройства да ги заменят с по-нови, поддържани продукти. За американските потребители на засегнатите устройства компанията предлага по-нов модел рутер на намалена цена.

D-Link отдаде дължимото на изследователя по сигурността „delsploit“ за идентифицирането и докладването на уязвимостта, но се въздържа от предоставяне на техническа информация за бъга.

Потребителите трябва да обмислят възможно най-скорошна замяна на своите стари устройства. Известно е, че заплахите са се насочили към уязвими продукти на D-Link, които вече не се поддържат.

Експлоатацията на CVE-2024-10914, грешка с критична тежест при инжектиране на команди в множество спрени от производство модели NAS на D-Link, започна в рамките на няколко дни, след като производителят на мрежов хардуер и телекомуникационно оборудване я оповести публично по-рано този месец.