D-Link VPN ルーターの深刻な脆弱性 CVE-N/A:EOL 製品へのサポートは行われない

D-Link urges users to retire VPN routers impacted by unfixed RCE flaw

2024/11/19 BleepingComputer — D-Link が公表したのは、認証を必要としない深刻なリモート・コード実行の脆弱性が発見されたという情報だ。その対象となるデバイスは、サポートが終了した VPN ルーター・モデルであるため、脆弱性が修正されることはない。したがって、顧客に対する警告は、デバイスの交換を促すものとなる。この欠陥は、セキュリティ研究者 delsploit により発見され、D-Link に報告されたが、大規模な悪用試行の誘発を抑制するために、技術的な詳細は公開されていない。

この脆弱性に対しては、現時点では CVE が採番されていない。また、影響の範囲は、DSR-150/DSR-150N のハードウェア/ファームウェア・リビジョン、および、DSR-250/DSR-250N のファームウェア 3.13 〜 3.17B901C となる。

これらの VPN ルーターは、グローバルで販売され、ホーム・オフィスや中小企業で人気を博したが、2024年5月1日にサービスは終了された。

D-Link のアドバイザリで明示されたのは、4つのモデルに対するセキュリティ・アップデートはリリースされないことであり、顧客に推奨されるのは、可能な限り早急なデバイスの交換となる。

D-Link は、「DSR-150/DSR-150N/DSR-250/DSR-250N における、すべてのハードウェア/ファームウェアのバージョンは、2024年5月1日の時点で EOL/EOS になっている。このエクスプロイトは、このレガシー D-Link ルーターと、サポート終了となったハードウェア・リビジョンに影響を及ぼすものだ。しかし、EOL/EOS に達した製品に対しては、デバイス・ソフトウェアの更新とセキュリティ・パッチが提供されず、D-Link US によるサポートも終了している」と述べている。

さらに D-Link は、これらのデバイス向け、サードパーテからオープン・ファームウェアが提供される可能性もあるが、オフィシャルにはサポートされず、また、推奨もされない慣行である。したがって、そのようなソフトウェアを使用すると、製品に適用される保証が無効になる可能性がある」と指摘している。

同社は、「一連の D-Link 製品の廃止を強く推奨している。問題のある製品を使用し続けると、接続されているデバイスにリスクが生じる可能性があると警告する。それでも米国のユーザーが、D-Link の推奨に反してデバイスを使い続ける場合には、デバイスに最新のファームウェアがインストールされていることを確認してほしい。最新のファームウェアは、レガシー Web サイトから入手できる」と強調している

それらのデバイスの最新ファームウェアは、以下でダウンロードできる:

最新のファームウェア・バージョンを使用する場合であっても、delsploit が発見したリモート・コード実行の脆弱性からは、デバイスを保護することは不可能である。さらに、この脆弱性に対するパッチが、公式にはリリースされないことにも注意してほしい。

D-Link の対応は、重大な欠陥が発見された場合であっても、対象となるデバイスを使用するユーザー数には関係なく、EoL デバイスにはサーポとを提供しないという、同社の戦略と一致している。

D-Link は、「当社において、製品のサポート終了 “EOS”/製造終了 “EOL” への到達は、その時々に判断される。D-Link は、技術の進化/市場の需要/新たなイノベーション/新技術に基づく製品の効率性/製品の時間の経過などを考慮し、機能的に優れた技術に置き換える必要があると判断するときには、製品の EOS/EOL を選択する場合がある」と説明している。

2024年11月初旬に、セキュリティ研究者の Netsecfish が、数千台の EoL D-Link NAS デバイスに影響を与える、深刻なコマンド・インジェクションの脆弱性 CVE-2024-10914 につて、その詳細を公開した。

それに対して、D-Link は警告を発したが、セキュリティ更新は提供しなかった。先週になって、脅威監視サービスの Shadowserver Foundation は、この脆弱性のアクティブな悪用の試みを確認したと報告している。

また、同じく先週に、セキュリティ研究者の Chaio-Lin Yu (Steven Meow) と台湾のTWCERTCC は、EoL D-Link DSL6740C モデムに影響を与える、3つの危険な脆弱性 CVE-2024-11068/CVE-2024-11067/CVE-2024-11066 を公開した。

インターネットに露出する、数万のエンドポイントがスキャンされているが、D-Link は、リスクに対処しないという方針である。

D-Link VPN ルーターの EOL 製品に、深刻なリモート・コード実行の脆弱性が発生していますが、CVE は採番されず、サポートも行われないとのことです。今後、どのような情報が提供されるのか、そのあたりも不明ですが、影響を受けるモデル名は明示されていますので、ご利用のチームは、ご参照ください。よろしければ、D-Link で検索も、ご参照ください。