Уязвимость в прошивке устройства, устраненная в прошлом году, была обнаружена исследователями Neohapsis. Обнаружить соответствующее уведомление от производителя не удалось. В ноябре прошлого года компания D-Link устранила критическую уязвимость в своем беспроводном маршрутизаторе DIR-645, однако забыла сообщить об этом своим клиентам. Так, для данной модели маршрутизатора с 21 ноября 2012 года на официальном web-сайте компании доступно обновление прошивки до версии 1.03. При этом в журнале изменений указано, что обновление лишь оптимизирует работу IPv6 и повышает совместимость с iOS 6. Никакой информации об уязвимости также не указано на web-странице , посвященной безопасности устройств D-Link.
Вместе с тем, как сообщают исследователи компании Neohapsis, специализирующейся на информационной безопасности мобильных устройств, при помощи сервиса поиска уязвимостей в сетевых устройствах SHODAN им удалось обнаружить 150 маршрутизаторов модели DIR-645 со устаревшей версией прошивки и всего шесть – с последней.
По словам экспертов, это довольно небезопасная тенденция, поскольку старая версия встроенного ПО позволяет удаленному пользователю получить доступ к незашифрованному паролю административной учетной записи устройства. Для этого необходимо лишь воспользоваться командой:
curl -d SERVICES=DEVICE.ACCOUNT http://<device ip>/getcfg.php
В настоящий момент представители D-Link подтвердили, что в последней версии прошивки действительно была устранена уязвимость и даже подчеркнули, что пользователям DIR-645 стоит незамедлительно установить обновление.