Эксперты компании Loginsoft сообщили о пяти серьезных уязвимостях (CVE-2020-15892, CVE-2020-15893, CVE-2020-15894, CVE-2020-15895 и CVE-2020-15896), обнаруженных в некоторых моделях маршрутизаторов компании D-Link. Хуже того, поддержка некоторых уязвимых устройств уже была прекращена, а значит, они не получат патчей, тогда как PoC-экплоиты для проблем уже обнародованы. Среди найденных исследователями проблем: отраженные XSS-атаки; переполнение буфера, позволяющее узнать учетные данных администратора; обхода аутентификации; выполнение произвольного кода. По сути, любой, кто имеет доступ к странице администрирования устройства, может выполнить перечисленные атаки, даже не зная учетных данных. К счастью, в большинстве случаев, чтобы получить доступ к интерфейсу администратора, злоумышленник должен находиться в той же сети, что и маршрутизатор (например, это может быть подключение к общедоступной точке доступа или единая внутренняя сеть). Ситуация серьезно осложняется, если к роутеру можно подключить удаленно: тогда злоумышленнику потребуется лишь сделать запрос на IP-адрес маршрутизатора, выполнить обход аутентификации и захватить контроль над устройством и сетью. По данным поисковика Shodan, в настоящее время более 55 000 устройств D-Link доступы удаленно. Специалисты D-Link уже опубликовали список всех устройств, уязвимых перед пятью новыми проблемами. По данным компании, о некоторых из этих багов сообщили еще в феврале 2020 года, тогда как исследование Loginsoft было проведено в марте. При этом в компании не уточняют, что будет устройствами моделей DAP-1522 и DIR-816L, для которых поддержка и выпуск обновлений уже были прекращены. Эти роутеры под управлением прошивки 1.42 (и старше), а также 12.06.B09 (и старше) остаются уязвимыми, и для них нет возможности установить исправления. Зато для другой старой модели, DAP-1520, в D-Link сделали исключение и все же выпустили бета-версию патча (1.10b04Beta02).