事件通告:D-Link DIR-850L AC1200 雙頻Gigabit 無線路由器存在多個漏洞,建議請儘速檢查並安裝修補程式!
2017/09/22
風險等級: 高度威脅
摘  要: 【弱點說明】

友訊科技(D-Link) 為臺灣網路設備的製造商,旗下產品包含路由器、無線網卡、視訊鏡頭及儲存硬碟等。

南韓研究人員Pierre Kim在今年9月公開揭露,D-Link所生產之DIR-850L AC1200 雙頻Gigabit 無線路由器的韌體存在多個安全漏洞(CVE-2017-14413~CVE-2017-14430) ,可能導致下列多項資安風險:
1.允許攻擊者可遠端執行跨網站腳本攻擊。
2.因未使用加密傳輸協定,導致攻擊者可透過中間人攻擊方式獲取帳號密碼等資訊。
3.攻擊者可遠端執行任意程式碼或造成阻斷服務。

【影響範圍】

  • D-Link DIR-850L韌體1.14.B07(含)之前版本
  • D-Link DIR-850L韌體2.07.B05(含)之前版本
【建議措施】

1.請檢查所使用之韌體是否為受影響之版本,檢查方式:
(1)登入DIR-850L管理介面
(2)點選「工具」
(3)點選「韌體」,即可看到目前所使用之韌體版本與韌體日期資訊。

2.目前D-Link官方尚未針對此弱點釋出修復的韌體版本,若使用韌體為受影響版本,請持續關注D-Link官方網頁釋出的韌體更新版本。(http://support.dlink.com/ProductInfo.aspx?m=DIR-850L)

【更新紀錄】

  • v1.0 (2017/09/22):發佈事件通告。

參考資訊:

技服中心 (2017/09/20)
CVE-2017-14413 (2017/09/13)
CVE-2017-14414 (2017/09/13)
CVE-2017-14415 (2017/09/13)
CVE-2017-14416 (2017/09/13)
CVE-2017-14417 (2017/09/13)
CVE-2017-14418 (2017/09/13)
CVE-2017-14419 (2017/09/13)
CVE-2017-14420 (2017/09/13)
CVE-2017-14421 (2017/09/13)
CVE-2017-14422 (2017/09/13)
CVE-2017-14423 (2017/09/13)
CVE-2017-14424 (2017/09/13)
CVE-2017-14425 (2017/09/13)
CVE-2017-14426 (2017/09/13)
CVE-2017-14427 (2017/09/13)
CVE-2017-14428 (2017/09/13)
CVE-2017-14429 (2017/09/13)
CVE-2017-14430 (2017/09/13)
The Hacker News (2017/09/11)