D-Link는 해당 장치에서 해결되지 않을 중요한 인증되지 않은 원격 코드 실행 취약점이 발견된 후 단종된 VPN 라우터 모델을 교체하도록 고객에게 경고하고 있습니다.
이 결함은 보안 연구원 ‘delsploit’에 의해 발견되어 D-Link에 보고되었지만 대규모 악용 시도를 피하기 위해 기술적 세부 사항은 대중에게 공개되지 않았습니다.
아직 CVE가 할당되지 않은 이 취약점은 DSR-150 및 DSR-150N의 모든 하드웨어 및 펌웨어 개정판과 펌웨어 3.13~3.17B901C의 DSR-250 및 DSR-250N에도 영향을 미칩니다.
홈 오피스 및 소규모 비즈니스 환경에서 널리 사용되는 이 VPN 라우터는 전 세계적으로 판매되었으며 2024년 5월 1일에 서비스가 종료되었습니다.
D-Link는 권고에서 4개 모델에 대한 보안 업데이트를 출시하지 않을 것임을 분명히 밝혔으며 고객에게 가능한 한 빨리 장치를 교체할 것을 권장했습니다.
“DSR-150/DSR-150N/DSR-250/DSR-250N의 모든 하드웨어 버전과 펌웨어 버전은 2024년 5월 1일자로 EOL/EOS였습니다. 이 악용은 이 레거시 D-Link 라우터와 모든 하드웨어 개정판에 영향을 미칩니다. 수명이 종료된 제품(…). EOL/EOS에 도달한 제품은 더 이상 장치 소프트웨어 업데이트 및 보안 패치를 받을 수 없으며 D-Link US에서 더 이상 지원되지 않습니다. – D-링크
공급업체는 또한 해당 장치에 대해 타사 개방형 펌웨어가 존재할 수 있지만 이는 공식적으로 지원되거나 권장되지 않는 방식이며 이러한 소프트웨어를 사용하면 제품에 적용되는 보증이 무효화된다는 점을 지적합니다.
“D-Link는 이 제품의 폐기를 강력히 권장하며 이 제품을 더 이상 사용할 경우 연결된 장치에 위험을 초래할 수 있다는 점에 주의를 기울이고 있습니다”라고 적혀 있습니다.
“미국 소비자가 D-Link의 권장 사항에 반하여 이러한 장치를 계속 사용하는 경우 장치에 레거시 웹 사이트에서 찾을 수 있는 마지막으로 알려진 펌웨어가 있는지 확인하십시오.”
사용자는 여기에서 해당 장치에 대한 최신 펌웨어를 다운로드할 수 있습니다.
사용 가능한 최신 펌웨어 버전을 사용해도 delsploit에서 발견한 원격 코드 실행 결함으로부터 장치를 보호할 수 없으며 이에 대한 패치가 공식적으로 출시되지 않습니다.
D-Link의 대응은 심각한 결함이 발견된 경우 EoL 장치를 사용하는 사람의 수에 관계없이 EoL 장치에 예외를 두지 않는다는 네트워킹 하드웨어 공급업체의 전략과 일치합니다.
D-Link는 “때때로 D-Link는 자사 제품 중 일부가 지원 종료(“EOS”)/수명 종료(“EOL”)에 도달했다고 결정합니다.”라고 설명합니다.
“D-Link는 기술의 진화, 시장 요구, 새로운 혁신, 신기술을 기반으로 한 제품 효율성으로 인해 제품을 EOS/EOL로 선택할 수 있으며, 제품은 시간이 지남에 따라 성숙해지며 기능적으로 우수한 기술로 교체되어야 합니다.”
이달 초 보안 연구원 ‘Netsecfish’는 수천 대의 EoL D-Link NAS 장치에 영향을 미치는 심각한 명령 주입 결함인 CVE-2024-10914에 대한 세부 정보를 공개했습니다.
공급업체는 경고를 발표했지만 보안 업데이트는 발표하지 않았으며 지난주 위협 모니터링 서비스인 Shadowserver Foundation에서는 활발한 악용 시도가 목격되었다고 보고했습니다.
또한 지난 주 보안 연구원 Chaio-Lin Yu(Steven Meow)와 대만의 컴퓨터 및 대응 센터(TWCERTCC)는 EoL에 영향을 미치는 세 가지 위험한 취약점 CVE-2024-11068, CVE-2024-11067, CVE-2024-11066을 공개했습니다. D-Link DSL6740C 모뎀.
인터넷 검색 결과 수만 개의 노출된 엔드포인트가 반환되었음에도 불구하고 D-Link는 위험을 해결하지 않기로 결정했습니다.
