D-link آپدیت سخت افزار مربوط به سوییچ های stackable managed را برای پوشش دادن آسیب پذیرهای جدی که منجر به نفوذ از راه دور به ابزار میشد را منتشر کرده است.
محققان امنیتی آدیتیا کی سود و ورنگ امین دریافتند سوییچ های DGS-1510 شرکت D-link که برای بنگاه های اقتصادی کوچک و متوسط توصیه می شوند دارای طراحی احراز هویت ناامن هستند. به گفته این محققان، یک مهاجم از راه دور می تواند با بهره گیری از عیوب دور زدن احراز هویت دستوراتی را روی سوییچ اجرا کند و پیکربندی و اطلاعات دیگری را استخراج کند.
محققان یک روند اثبات ایده را در اختیار securityweek قرار دادند که نشان میدهد چطور یک مهاجم احراز هویت نشده، می تواند اطلاعات کاربر که شامل نام کاربری و رمزعبور می شود را به دست آورد و یا یک کاربری با دسترسی مدیر اضافه کند. این روند اثبات ایده در زمان دیگری در دسترس عموم قرار خواهد گرفت. امین و همکارانش بیان کردند که چندین سیستم روی شبکه شناسایی کرده اند اما نتوانسته اند به طور دقیق مشخص کنند به چه تعداد وسیله تحت وب از راه دور نفوذ شده است.
D-link در پاسخ توضیح داد که این آسیب پذیری ها تحت عنوان فرمان دور زدن احراز هویت نشده و افشاگری اطلاعات احراز هویت نشده طبقهبندی میشوند. این عیوب در مدل های
DGS-1510-28XMP
DGS-1510-28X
DGS-1510-52X
DGS-1510-52
DGS-1510-28P
DGS-1510-28
DGS-1510-20
نام برده که سخت افزار با نسخه قبل هست 1.31.B003 می باشد
به روز رسانی سخت افزاری که حفره های امنیتی را پوشش میدهد هم اکنون در وضعیت بتا می باشد ودر صورتی که تست های کیفیت بلند مدت را با موفقیت پشت سر بگذارد در دسترس عموم قرار خواهد گرفت. این مشکلات در ژانویه به d-link گزارش شد و در ۲۱ فوریه در دسترس عموم قرار گرفت. حفره های امنیتی جدی در محصولات d-link یافت شده است که شامل دوربین ها، نقاط دسترسی، مودم ها، روترها و محصولات ذخیره سازی اطلاعات و سایر محصولات متصل خانگی می شود. در اوایل ژانویه کمیسیون تجارت فدرال آمریکا شکایتی علیه این تامین کننده تایوانی تجهیزات شبکه ثبت کرد که در آن این شرکت را متهم به ادعاهای نادرست در خصوص امنیت محصولاتش نمود. D-link تصمیم دارد به جنگ آنچه اتهامات بی پایه و غیر واقعی خوانده برود.