Производитель сетевого оборудования D-Link выпустил хотфикс, устраняющий множество уязвимостей в беспроводных маршрутизаторах DIR-3040. Атакующие могут запустить вредоносный код с помощью этих багов, а также получить доступ к конфиденциальной информации и даже привести к сбою в работе роутеров.
Общее количество пропатченных уязвимостей, обнаруженных экспертами Cisco Talos, — четыре. Список CVE-идентификаторов выглядит следующим образом:
Брешь CVE-2021-21820 можно использовать в атаке, отправляя уязвимому устройству специально созданные запросы. В отчёте Cisco Talos рекомендуется установить патч с версией v1.13B03 (ZIP).
При этом стоит учитывать, что баги с жёстко запрограммированными паролями имеют довольно высокие баллы по шкале CVSS. CVE-2021-21820 — 10 баллов, CVE-2021-21818 — 7,5 баллов.
Помимо этого, команда Cisco Talos также нашла возможность выполнения кода в функциональности Libcli Test Environment, затрагивающую D-LINK DIR-3040 1.13B03. Всем рекомендуется срочно установить версию прошивки 1.13B03.