11月11日台湾电脑网路危机处理暨协调中心(TWCERT/CC)发布公告,指出D-Link数据机DSL-6740C存在一系列漏洞,由于该设备今年初已达到终止支援(EoS)阶段,D-Link将不会进行修补,呼吁使用者应汰换设备。由于使用这款设备的用户绝大多数都位于台湾,宽频网路的使用者应特别提高警觉。
对此,12日D-Link也根据CVSS风险评分,最严重的是重大层级的CVE-2024-1108,攻击者可在未经身分验证的情况下,利用特定的API随意修改使用者的密码,并以该使用者的帐号存取网页、SSH、Telnet等服务,风险值达到9.8。
路径穿越漏洞CVE-2024-11067也相当值得留意,因为也同样能在未经授权的情况下利用,一旦攻击者成功触发漏洞,就有机会读取任意的系统档案。值得留意的是,由于数据机的预设密码与MAC位址有关,若是攻击者利用这项漏洞得到MAC位址,便能试图以预设密码登入装置,CVSS评分为7.5。
其余的作业系统命令注入漏洞,取得管理者权限的攻击者能够远端利用,并透过SSH或Telnet的特定功能执行任意的系统命令,CVSS风险为7.2。