11月11日台湾电脑网络危机处理暨协调中心(TWCERT/CC)发布公告,指出D-Link调制解调器DSL-6740C存在一系列漏洞,由于该设备今年初已达到终止支持(EoS)阶段,D-Link将不会进行修补,呼吁用户应汰换设备。由于使用这款设备的用户绝大多数都位于台湾,宽带网络的用户应特别提高警觉。
对此,12日D-Link也发布公告证实此事,并指出这款设备在今年1月15日已经结束支持,强烈建议用户停止使用。
这些漏洞分别是特权API不正确使用漏洞CVE-2024-1108、路径穿越漏洞CVE-2024-11067,以及操作系统命令注入漏洞CVE-2024-11062、CVE-2024-11063、CVE-2024-11064、CVE-2024-11065、CVE-2024-11066,CVSS风险评分介于7.2至9.8。
根据CVSS风险评分,最严重的是重大层级的CVE-2024-1108,攻击者可在未经身分验证的情况下,利用特定的API随意修改用户的密码,并以该用户的帐号存取网页、SSH、Telnet等服务,风险值达到9.8。
路径穿越漏洞CVE-2024-11067也相当值得留意,因为也同样能在未经授权的情况下利用,一旦攻击者成功触发漏洞,就有机会读取任意的系统文件。值得留意的是,由于调制解调器的默认密码与MAC位址有关,若是攻击者利用这项漏洞得到MAC位址,便能试图以默认密码登录设备,CVSS评分为7.5。
其余的操作系统命令注入漏洞,取得管理者权限的攻击者能够远程利用,并通过SSH或Telnet的特定功能运行任意的系统命令,CVSS风险为7.2。
针对这些漏洞曝险的情况,已有国外媒体报导此事,当时资安新闻网站Bleeping Computer通过物联网搜索引擎FOFA搜索,有59,083台具有资安风险的调制解调器,其中在台湾的有59,077台;事隔2周,数量仅略为减少,我们今天经由FOFA搜索,结果发现仍有多达57,949台仍在运作的调制解调器,其中57,945台位于台湾,显然很多人并未意识到此事的严重性。
对于此事,我们也向通报漏洞的趋势科技红队资安研究员Steven Meow进一步确认,他表示这批漏洞的危险之处,在于中华电信提供许多个人用户及政府机关这款调制解调器,上述漏洞的影响范围相当广泛,他估计有超过6万台设备曝露于远程运行任意代码(RCE)的危险,而且,这些设备大部分仍在运作。
对于前述提及管理员帐密可被猜测的情况,Steven Meow也提及10月底已被登记为CVE-2024-48271,这项漏洞存在于6.TR069.20211230版固件,涉及管理员的帐密能够被猜测的情形,攻击者有机会远程未经授权存取调制解调器的主控台,CVSS风险达到9.8分。



2024-11-28
