D-Link 无线路由器的多种型号中发现了一个严重漏洞,攻击者无需身份验证即可获得对设备的管理访问权限。漏洞 CVE-2024-6045的严重级别很高, CVSS 评分为8.8 。
据TWCERT 的代表称,该问题是由特定型号的D-Link路由器中未公开的内置测试后门引起的。攻击者可以使用特定的 URL 激活 Telnet 服务,还可以通过分析路由器固件来获取管理员凭据。成功的攻击可以完全控制受感染的设备。
易受攻击的路由器型号列表包括: E15、E30、G403、G415、G416、M15、M18、M30、M32、M60、R03、R04、R12、R15、R18、R32。
D-Link 已发布固件更新 来解决此漏洞。建议这些型号的用户紧急更新固件至最新版本,以防止该漏洞被利用。
下面列出了每个受影响型号的当前安全固件版本:
型号 G403、G415、G416、M18、R03、R04、R12、R18:版本 1.10.01 及更高版本;
型号 E30、M30、M32、M60、R32:版本 1.10.02 及更高版本;
型号 E15、R15:版本 1.20.01 及更高版本。
用户应立即应用这些固件更新,以保护其设备免受攻击。定期检查和更新路由器固件是保证网络设备安全的重要措施。
转载自安全客