Nonostante i gravi problemi di sicurezza, D-Link (di nuovo) non patcherà alcuni router

modem vs router che si collega
Piotr Adamowicz

Per la seconda volta in circa un anno, D-Link non è riuscito a intervenire sugli avvertimenti dei ricercatori di sicurezza che coinvolgono i router della società. L'ultimo incidente è sorto dopo che il ricercatore della Silesian University of Technology Błazej Adamczyk ha contattato D-Link lo scorso maggio su tre vulnerabilità che interessavano otto modelli di router. Dopo l'avviso, D-Link ha rattoppato due dei router interessati, ma inizialmente non ha rivelato come avrebbe proceduto per i restanti sei modelli. Dopo ulteriori richieste da parte di Adamczyk, D-Link ha rivelato che i restanti sei router non otterrebbero una patch di sicurezza perché erano considerati modelli di fine vita, lasciando i proprietari interessati fuori al freddo.

"I modelli D-Link interessati sono DWR-116, DWR-140L, DWR-512, DWR-640L, DWR-712, DWR-912, DWR-921 e DWR-111, sei dei quali risalgono al 2013, con la DIR-640L appare per la prima volta nel 2012 e la DWR-111 nel 2014, " Naked Security ha riportato. Sebbene questi non siano modelli attuali nel portfolio di D-Link, molti dei modelli elencati sono ancora in uso.

Come risultato di questa impasse, Adamczyk ha rilasciato dettagli sui difetti di sicurezza, seguendo i protocolli di sicurezza responsabili dopo aver dato l'avviso di D-Link e l'opportunità di risolvere i problemi. Significativo è che questa è la seconda volta in circa un anno in cui D-Link non è riuscito a risolvere le vulnerabilità di sicurezza che interessano i suoi prodotti dopo essere stato notificato dai ricercatori; l'ultima volta è successo nel 2017 e ha coinvolto un diverso insieme di vulnerabilità.

Adamczyk ha pubblicato un video che mostra come le vulnerabilità potrebbero essere utilizzate insieme per ottenere un attacco di attraversamento del percorso sui router interessati. Il ricercatore di sicurezza ha notato che il nuovo difetto è sorto dopo che D-Link ha riferito di aver risolto un precedente difetto di sicurezza. Conosciuto anche come attacchi "directory traversal" o "dot dot slash", questi difetti consentono a un utente malintenzionato di accedere ai file di sistema con una semplice richiesta HTTP.

Nonostante la storia fiacca di D-Link con il supporto di modelli di router più vecchi, il produttore non è il solo a lasciare i router senza patch. L' American Consumer Institute ha riportato che dei 186 router che aveva testato, 155 contenevano vulnerabilità del firmware. In totale, ACI ha scoperto oltre 32.000 vulnerabilità conosciute nel suo studio. "La nostra analisi mostra che, in media, i router contenevano 12 vulnerabilità critiche e 36 vulnerabilità ad alto rischio, in tutto l'intero campione", ha osservato ACI nel suo rapporto. "Le vulnerabilità più comuni erano a medio rischio, con una media di 103 vulnerabilità per router."

Per gli acquirenti che si trovano sul mercato per un nuovo router, probabilmente è meglio controllare anche con il produttore per vedere quale sia la durata di vita del router supportata. Se il router si avvicina alla fine della sua vita utile, come nel caso illustrato qui, è possibile che non si ottengano patch, indipendentemente dalla gravità della vulnerabilità della sicurezza. Se si dispone di un router più vecchio, si consiglia di valutare la nostra guida per le migliori opzioni del router prima di decidere di eseguire l'aggiornamento.

( Fonte )