D-Link、旧型モデム6万台にセキュリティパッチを提供しないと発表

 (techradar.com)
1 ポイント 投稿者 GN⁺ 2024-11-28 | 1件のコメント | WhatsAppで共有

  • セキュリティ研究者が発見した脆弱性

    • 古いD-Linkモデムで深刻なセキュリティ脆弱性が発見された。
    • D-Linkはこれらの脆弱性にパッチを提供せず、ハードウェアのアップグレードを推奨している。
    • 脆弱なデバイスは約60,000台存在し、その大半は台湾にある。

  • D-Linkの対応

    • D-Linkは、EoL(End of Life)に達したデバイスについてはパッチを提供しないことを決定した。
    • ユーザーには新しいモデルへの交換が推奨されている。
    • D-LinkのNASデバイスでも同様の脆弱性が見つかったが、こちらもパッチは提供されない。

  • 発見された脆弱性の詳細

    • CVE-2024-11068: APIアクセスを通じてパスワードを変更できる脆弱性、深刻度9.8。
    • CVE-2024-11067: パストラバーサルの脆弱性、深刻度7.5。
    • CVE-2024-11066: リモートコード実行の脆弱性、深刻度7.2。

  • 追加の推奨事項

    • ルーターをすぐに交換できない場合は、リモートアクセスを制限し、安全なパスワードを設定することが推奨される。
    • ルーターは最も頻繁に攻撃されるエンドポイントの1つである。

  • その他の情報

    • D-Linkは、EOL/EOSに達したデバイスの退役と交換を推奨している。
    • 台湾のコンピュータ緊急対応チーム(TWCERTCC)は、追加のコマンドインジェクション脆弱性4件も発見した。

関連記事

1件のコメント

 
GN⁺ 2024-11-28
Hacker Newsの意見

  • D-Linkの古いモデムに対するセキュリティパッチが提供されないという記事の紹介

    • D-Linkにはセキュリティの脆弱な機器を発売してきた経緯があり、別の製品を購入したほうがよい

  • EUの製造物責任指令では、製品のセキュリティを維持するためのアップデートが求められる

    • ドイツでは、製品と関連アプリが平均5年間アップデートされるべきだという期待がある

  • 長期サポート製品を探している人にはUbiquiti(Unifi)とOpenWRTを勧めている

    • OpenWRT対応機器は安価でありながら、長期的にサポートされる可能性が高い

  • 製品のサポート約束だけでなく、会社のソフトウェア品質も重要である

  • 古いWi-Fiルーターの脆弱性を分析し、ブログに投稿しようとした経験の共有

    • メーカーがアップデートを打ち切ったため、新しい機器を購入しなければならなかった経験

  • Ubiquiti Edge Routerを使っていたが、長期的には満足できなかった

    • Protectliボックスを購入してcorebootをフラッシュし、pfSenseを使った後にOPNSenseへ移行した

  • 消費者向けネットワーク機器はセキュリティに弱く、セキュリティを重視する人は使うべきではない

  • 古いハードウェアにOpenWRTをフラッシュすることを勧めている

    • pfSenseやOPNSenseを実行できるハードウェアを購入するのがよい

  • D-Linkの製品終了に関連するバグの背景説明

    • OpenWRTを使う方法の紹介

  • CVSSスコアに対する批判

    • CVEスコアはセキュリティ脆弱性の実際の影響を評価するうえで有用ではない

  • MikroTikルーターのUIが非専門家には適していない点が惜しい

    • 安価で長期的にサポートされるが、UIが非専門家には難しい