D-Link 路由器新漏洞，黑客可远程执行任意命令

研究人员发现，D-Link 路由器漏洞如果被利用，这可能会允许黑客通过特制请求对脆弱的网络设备执行任意命令，甚至发起拒绝攻击。

D-Link路由器容易受到三个新的高风险安全漏洞的攻击，从而使数百万个家庭和企业网络容易受到网络攻击，即使它们使用强密码保护也是如此。

运行固件版本3.14和3.17的DSR系列中的D-Link DSR-150，DSR-250，DSR-500和DSR-1000AC路由器模型容易受到可远程利用的根命令注入漏洞的攻击。

这家台湾网络设备制造商在12月1日的公告中确认了这些问题，并补充说，正在针对三个漏洞中的两个漏洞开发补丁，这些补丁现已在撰写本文时向公众发布。

不管是匿名者黑客组织还是东方联盟，相关安全专家都表示，D-Link 路由器高危漏洞需要及时修复。

研究人员在今天发布一份报告中说：“从WAN和LAN接口来看，可以通过Internet利用此漏洞。因此，具有访问路由器Web界面访问权限的远程未经身份验证的攻击者可以以root用户身份执行任意命令，从而有效地获得了对路由器的完全控制。”

缺陷源于以下事实：易受攻击的组件“ Lua CGI”无需身份验证即可访问，并且缺少服务器端过滤，因此攻击者（通过身份验证或其他方式）可能注入将以root身份执行的恶意命令。

另一个漏洞涉及路由器配置文件的修改，以注入恶意CRON条目并以root用户身份执行任意命令。

但是，D-Link表示不会“在这一代产品上”纠正此缺陷，并指出这是预期的功能。

该公司表示：“该设备使用纯文本配置，该设计可以直接编辑配置并将其相应地上传到相同的DSR设备。”

研究人员警告说，由于COVID-19大流行导致在家工作的空前增加，可能会有更多员工使用其中一种受影响的设备连接到公司网络。

随着组织争先恐后地适应远程工作并提供对企业系统的安全远程访问，这种变化创造了新的攻击面，路由器中的漏洞成为攻击者进入企业内部网络的普遍目标。（欢迎转载分享）