ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

D-Link DSL-2750U 無線ルータに認証なしで設定を変更できる脆弱性 (CWE-15、CVE-2021-3707)

D-Link DSL-2750U 無線ルータに認証なしで設定を変更できる脆弱性 (CWE-15、CVE-2021-3707) があるそうなので、利用している方は注意が必要です。

 

JVNVU#92088210: D-LINK ルータ DSL-2750U に複数の脆弱性

 

概要
D-Link ルータ DSL-2750U には複数の脆弱性が存在します。

影響を受けるシステム
D-Link DSL-2750U、ファームウェア vME1.16 およびそれ以前のバージョン

 

詳細情報
D-Link社が提供するルータ DSL-2750U には、認証なしで設定を変更できる脆弱性 (CWE-15、CVE-2021-3707) および、OSコマンドインジェクションの脆弱性 (CWE-78、CVE-2021-3708) が存在します。

 

想定される影響
ローカルネットワーク内からのアクセスによって、当該デバイス上で任意のOSコマンドを実行される可能性があります。

 

対策方法
ファームウェアを更新する
D-Link が提供する情報をもとに、ファームウェアを更新してください。
脆弱性を修正したバージョン vME_1.22 がリリースされています。

 

 

メーカーサイトの情報です。

D-Link Technical Support

 

概要

 

2021年5月31日、サードパーティの研究者は、ローカルネットワーク上の資格情報なしでユーザーがデバイスの構成にアクセスできるセキュリティの脆弱性について、米国以外のSKUDSL-2750UをfirwmarevME1.16で非難しました。

 

バイスが完全に起動されると、LAN経由で接続されたクライアントにアクセスして、tftp経由でcfgファイルをアップロードまたはダウンロードできるようになりました。このアクセスは、悪意のあるユーザーがデバイスの構成を変更できるようにすることで、セキュリティの問題を高める可能性があります。

 

新しいファームウェアパッチでは、古いファームウェアの2つのファイルを変更またはダウンロードする機能を無効にして構成ファイルをダウンロードまたはアップロードすることはできません:* cfg.xml、*。img)。

 

 

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)