นักวิจัยพบช่องโหว่ร้ายแรงบนเราท์เตอร์ D-Link เข้าควบคุมเครื่องได้, ยังคงไร้แพตช์แก้

Blazej Adamczyk นักวิจัยด้านความปลอดภัยชาวโปแลนด์จากมหาวิทยาลัยเทคโนโลยี Silesian ได้ค้นพบช่องโหว่ระดับวิกฤติ 3 ช่องโหว่ที่กระทบกับเราท์เตอร์ D-Link 6 รุ่นได้แก่ DWR-116, DWR-140L, DWR-512, DWR-640L, DWR-712, DWR-912, DWR-921, และ DWR-111

Adamczyk ติดต่อไปยัง D-Link หลังค้นพบช่องโหว่ในเดือนพฤษภาคม โดยได้รับคำตอบกลับมาว่าจะแพทช์ 2 รุ่น ส่วนที่เหลือเข้าสู่สถานะ EOL แล้ว ทว่าเวลาผ่านไปก็ยังคงไม่มีแพตช์ออกมา ทำให้ Adamczyk ตัดสินใจเปิดเผยช่องโหว่นี้ออกสู่สาธารณะดังนี้

CVE-2018-10822 ทำให้เราท์เตอร์สามารถถูกโจมตีทางไกล เข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ โดยช่องโหว่นี้เคยถูกรายงานให้กับทาง D-Link แล้วด้วยรหัส CVE-2017-6190 ทว่า D-Link ยังคงแก้ไขไม่หมด
CVE-2018-10824 ช่องโหว่ที่ทำให้แฮกเกอร์สามารถเข้าถึงรหัสผ่านแอดมินบนเราท์เตอร์แบบ plaintext
CVE-2018-10823 ช่องโหว่นี้มีผลเฉพาะเราท์เตอร์เพียง 6 รุ่น ที่เปิดให้แฮกเกอร์สามารถรันคำสั่งเข้าควบคุมเราท์เตอร์ได้

Adamczyk ระบุด้วยว่าช่องโหว่ทั้ง 3 ทำให้แฮกเกอร์สามารถโจมตีและเข้าควบคุมเราท์เตอร์ได้อย่างสมบูรณ์ พร้อมมีตัวอย่างการโจมตีเป็นคลิปท้ายข่าวด้วย

ที่มา - Naked Security, Security Week ผ่าน Blognone