D-Link 發布安全固件更新，修復 DIR-865L 路由器中存在的問題

D-Link發布了一個固件更新來解決影響DIR-865L家庭路由器模型的三個安全缺陷，但是留下一些問題沒有解決

D-Link最近發布了一個固件更新來解決影響DIR-865L無線家庭路由器的六個安全漏洞中的三個。

以下是影響D-Link家庭路由器的漏洞列表:

CVE-2020-13782:命令中使用的特殊元素的不正確中和(命令注入)-嚴重度分數為9.8，不固定
CVE-2020-13786:跨站點請求偽造(Cross高嚴重性分數8.8，已修復
CVE-2020-13785:加密強度不足-高嚴重性分數7.5，已修復
CVE-2020-13784:偽隨機數發生器中的可預測種子-高嚴重性分數7.5不固定
CVE-2020-13783:敏感信息的明文存儲-高嚴重性分數7.5，已修復
CVE-2020-13787:敏感信息的明文傳輸-高嚴重性分數7.5，不固定

今年2月，Palo Alto網絡公司的研究人員向D-Link報告了這些缺陷，專家指出，這些問題也可能影響到較新的型號，因為它們共享部分固件代碼。

CVE-2020-13782被評為嚴重，其余為高危，攻擊者可以利用它們來執行任意命令、竊取敏感信息、上傳惡意負載或刪除數據。

Palo Alto研究員Gregory Basior說，攻擊者可以利用上述漏洞嗅探網絡流量并竊取會話cookies。

“這些漏洞的不同組合會導致重大風險。例如，惡意用戶可以嗅探網絡流量來竊取會話cookies。Palo Alto網絡公司發表的分析表示。

“有了這些信息，他們可以訪問管理門戶進行文件共享，從而能夠上傳任意惡意文件、下載敏感文件或刪除重要文件。他們還可以使用cookie運行任意命令來實施拒絕服務攻擊。”

美國消費者不再支持D-Link的DIR-865L，而供應商仍然為歐洲消費者提供支持。

該供應商發布了一個測試版固件版本，僅修復了六個缺陷中的三個，它建議客戶用新型號替換他們的設備。

“對于美國消費者來說，D-Link建議停用該產品，任何進一步的使用都可能對連接到該產品的設備和連接到該產品的最終用戶造成風險”D-Link表示。