D-Link 部分老旧路由器出现 RCE 漏洞但已停止维护,友讯建议丢弃
11 月 21 日消息,友讯(D-Link)报告称,部分老旧路由器存在 RCE(远程代码执行)漏洞,但因为这部分路由器已经 EOL 并停止支持,该公司拒绝提供补丁,建议用户将其丢弃。
值得一提的是,友讯之前也发生过类似的事,例如有 60,000 多台旧款 NAS 设备因为同样的理由被拒绝提供补丁,并建议用户购买新型号。
友讯表示,由于存在堆栈缓冲区溢出漏洞,攻击者可以对这些路由器远程执行任意代码。不过没有给出确切细节,可能是为了避免不法分子以此发动攻击。即便如此,这也可能为这部分老用户带来各种威胁,包括但不限于数据窃取、恶意软件、木马以及 DoS 攻击。
注意到,友讯也不是毫无作为,至少会为美国用户提供 20% 的购新折扣,但这仍无法弥补补丁缺失所带来的风险,对于那些不知情用户来说恐怕不是好消息。
此外,友讯也表示这些设备可以安装第三方固件,并提供非官方补丁 —— 但这样做同样会使保修失效(但本来也没有保修)。