Publicly Disclosed Exploits Put D-Link DIR-823 Users in Danger – No Security Fixes
2025/02/21 SecurityOnline — D-Link が発行したのは、DIR-823 WiFi Router リビジョン A1 で、ファームウェア・バージョン 1.20B07 を実行しているデバイスに影響を及ぼす、複数の脆弱性に関するセキュリティ・アドバイザリである。これらの脆弱性には、スタックバッファ・オーバーフローとコマンド・インジェクションの欠陥が含まれており、影響を受けるデバイスの制御を、攻撃者に許す可能性が生じている。
アドバイザリに記されているのは、2024年3月31日の時点で、DIR-823 Rev. A1 が EOL (end-of-life) と EOS (end-of-service) に達したことである。それが意味するのは、D-Link からのセキュリティ更新やサポートが受けられないことである。このアドバイザリには、「EOL/EOS に達した製品は、デバイス・ソフトウェア更新やセキュリティ・パッチを受けられなくなり、また、D-Link US (D-Link Systems, Inc.) によるサポートも受けられなくなる」と記載されている。
ファームウェア FW1.20B07 を実行している DIR-823 (Rev. A1) では、複数のスタック・バッファ オーバーフローの脆弱性とコマンド・インジェクションの脆弱性の存在が判明している。それらを悪用する攻撃者は、デバイス制御/任意のコード実行/システム・クラッシュなどを引き起こす可能性を手にする。すでに、これらの脆弱性は公開されており、悪用のリスクが高まっている。
公開された脆弱性には、以下が含まれる:
- CVE-2025-25740〜CVE-2025-25742/CVE-2025-25745〜CVE-2025-25746: 各種のモジュールの多様なパラメータによりトリガーされる可能性のある、スタックバッファ・オーバーフローの脆弱性。
- CVE-2025-25743:SetVirtualServerSettings モジュールにおけるコマンド・インジェクション脆弱性。
- CVE-2025-25744:SetDynamicDNSSettings モジュールにおけるスタックバッファ ・オーバーフローの脆弱性。
すべてのユーザーに対して D-Link が強く推奨するのは、影響を受けるルーターの使用を中止して交換することだ。セキュリティ・アップデートは提供されないため、ルーターを交換することが、これらの脆弱性を軽減する唯一の方法である。
D-Link DIR-823 ルーターの EOL/EOS 製品に、7件の脆弱性が発生していますが、サポートも行われないとのことです。NVD で調べたところ、CVE-2025-25746/CVE-2025-25742 は CVSS 値 9.8 と、非常に高い深刻度になっています。ご利用のチームは、ご注意ください。よろしければ、D-Link で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.