D-Link ได้ออกคำแนะนำให้ผู้ใช้งานเราเตอร์ VPN รุ่นเก่าของบริษัทเลิกใช้งานและเปลี่ยนเป็นอุปกรณ์ใหม่ หลังมีการเปิดเผยช่องโหว่ร้ายแรงที่อาจนำไปสู่การโจมตีแบบ Remote Code Execution (RCE) โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้โดยไม่ต้องยืนยันตัวตน
แม้ว่ารายละเอียดเกี่ยวกับช่องโหว่นี้จะยังไม่ได้รับการเปิดเผยทั้งหมด เนื่องจากความเสี่ยงที่อาจเกิดการนำไปใช้ในวงกว้าง แต่ D-Link ระบุว่านี่เป็นช่องโหว่ประเภท buffer overflow ซึ่งถือเป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุด และได้เตือนว่า หากยังคงใช้อุปกรณ์ที่ได้รับผลกระทบ อุปกรณ์อื่นๆ ที่เชื่อมต่อกับเราเตอร์ดังกล่าวก็อาจตกอยู่ในความเสี่ยง
นอกจากนี้ ผู้เชี่ยวชาญได้ชี้ให้เห็นถึงความเสี่ยงอื่นๆ ที่อาจเกิดขึ้น เช่น การโจมตีแบบ Adversary-in-the-middle หรือการแพร่กระจายไปยังอุปกรณ์อื่นๆ เพื่อโจมตีเพิ่มเติม เช่น การติดตั้งแรนซัมแวร์ แม้ว่า D-Link จะไม่ได้ยืนยันความเป็นไปได้เหล่านี้ในกรณีนี้
อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้ ได้แก่:
DSR-150 (EOL พฤษภาคม 2024)
DSR-150N (EOL พฤษภาคม 2024)
DSR-250 (EOL พฤษภาคม 2024)
DSR-250N (EOL พฤษภาคม 2024)
DSR-500N (EOL กันยายน 2015)
DSR-1000N (EOL ตุลาคม 2015)
D-Link ระบุว่า เนื่องจากอุปกรณ์ทั้งหมดเหล่านี้ได้เข้าสู่สถานะหมดอายุการใช้งาน (End of Life – EOL) และ/หรือหมดการสนับสนุน (End of Support – EOS) บริษัทจึงไม่มีแผนที่จะออกแพตช์แก้ไขสำหรับอุปกรณ์เหล่านี้ และเพื่อช่วยลดผลกระทบต่อผู้ใช้งาน D-Link ได้เสนอส่วนลด 20% สำหรับการซื้อเราเตอร์รุ่นใหม่ DSR-250v2 ซึ่งไม่ได้รับผลกระทบจากช่องโหว่นี้ พร้อมย้ำว่านโยบายของบริษัทคือ เมื่อผลิตภัณฑ์เข้าสู่สถานะ EOS/EOL จะไม่มีการสนับสนุนเพิ่มเติม และการพัฒนาซอฟต์แวร์ทั้งหมดสำหรับอุปกรณ์เหล่านั้นจะหยุดลง
อ่านเพิ่มเติมที่นี่ – Theregister
