D-Link路由器曝出RCE漏洞，牵涉多个型号

Fortinet旗下FortiGuard实验室的研究人员披露了D-Link路由器上的一个远程命令执行漏洞，牵涉多个型号。

相关安全专家为此漏洞发表了一篇详细说明文章，且该漏洞已被标记为CVE-2019-16920，是在2019年9月被发现的，攻击者可在未经身份验证的情况利用该漏洞。目前CVSS v31的基础评分为9.8和CVSS v20的基础评分为10.0。

对用户来说，有一个坏消息是厂商并不会修复这个漏洞，因为它影响的是已经停产的产品。

根据Fortinet的说法，该漏洞影响了DIR-655、DIR-866L、DIR-652和DHP-1565型号的路由器。

根据安全报告的说法：“在2019年9月，Fortinet的FortiGuard实验室发现并报告了D-Link产品中一个无视身份验证的远程命令执行漏洞(FG-VD-19-117/CVE-2019-16920)。我们认为这是一个致命问题，因为该漏洞可以在不进行身份验证的情况下远程触发。”

攻击者可以利用该漏洞将任意字符串发送到“PingTest”网关接口来实现命令注入。

“该漏洞始于一次错误的身份验证过程。当我们要进入管理页面时，需要执行登录操作。此时，我们会对apply_sec.cgi页面发出POST请求，其中包含一个操作ping_test。研究后发现，我们可通过参数ping_ipaddr执行命令注入。虽然响应是返回登录页面，但操作ping_test仍然执行了，我们通过参数ping_ipaddr注入的命令echo 1234成功执行，并将结果发送回我们的服务器。”

专家们发现，由于糟糕的身份权限检查，即使无用户权限，也可以远程执行命令。

研究人员在9月22日向D-Link报告了漏洞，而厂商在两天后承认漏洞存在，并在三天后确认不会发布相关补丁，因为这些产品都已经到了生命周期的终点。

漏洞披露时间表如下：

• 2019年9月22日：FortiGuard实验室向D-Link报告了漏洞

• 2019年9月23日：D-Link确认漏洞存在

• 2019年9月25日：D-Link确认这些产品已过生命周期

• 2019年10月3日：漏洞详细信息公开

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/92227/hacking/d-link-router-models-flaw.html