Alertas de seguridad

Múltiples vulnerabilidades en D-Link

Según lo informado por BleepingComputer, las imágenes de firmware del enrutador de la compañía han estado filtrando la clave secreta utilizada para cifrar sus binarios de firmware patentados.

Ahora, la compañía ha revelado cinco vulnerabilidades graves en algunos de sus modelos de enrutadores, lo que podría permitir un grave compromiso de la red. Además, algunos dispositivos han alcanzado su fase de "final de la vida útil", lo que significa que no serían parcheados.

Las vulnerabilidades reportadas por el equipo de ACE: Loginsoft incluyen ataques reflejados de Cross-Site Scripting (XSS), desbordamientos de búfer para obtener credenciales de administrador, omitir la autenticación por completo y ejecutar código arbitrario.

Acciones recomendadas

No se han considerado los modelos DAP-1522 y DIR-816L que han alcanzado su fase de "fin de soporte". Estos dispositivos que ejecutan las versiones de firmware v1.42, v12.06.B09 y posteriores siguen siendo vulnerables sin ruta de actualización.

Para el modelo D-Link DAP-1520 que ejecuta versiones de firmware vulnerables v1.10B04 y posteriores, la compañía ha lanzado una versión de firmware "Exceptional Beta Patch Release" v1.10b04Beta02 a la que los usuarios pueden actualizar.

Por lo tanto, los usuarios que ejecutan estos dispositivos no tienen medios para actualizar y continuarán siendo vulnerables a menos que compren dispositivos más nuevos.