美國公告3個漏洞已出現攻擊行動,其中包含已終止支援的老舊D-Link路由器漏洞
· 2024-05-21

上週四美國網路安全暨基礎設施安全局(CISA)表示,有3個漏洞被用於攻擊行動,但這份公告引起注意的是,其中有2個是存在於生命週期已經結束(EOL)的D-Link路由器上

5月16日美國網路安全暨基礎設施安全局(CISA)提出警告,他們得知有3個漏洞已出現遭到利用的情況,並將其列入已遭利用的漏洞名單(KEV),值得留意的是,部分漏洞出現於已不再受到支援的D-Link路由器裝置。

這些漏洞包含了:Google於15日修補的JavaScript引擎V8記憶體越界寫入漏洞CVE-2024-4761,以及D-Link路由器DIR-600跨網站指令碼請求(CSRF)漏洞CVE-2014-100005、DIR-605資訊洩露漏洞CVE-2021-40655,CISA要求聯邦機構必須在6月6日前完成修補。

其中,CVE-2014-100005存在長達10年而受到關注,當時雖然該廠商4年前已停止支援DIR-600,但D-Link還是發布資安公告,並推出2.17b02版韌體修補。揭露此事的研究人員表示,假如漏洞遭到利用,攻擊者有可能挾持網頁管理介面、建立管理員帳號,竄改設定並控制路由器設備,或是向攻擊者的主機發送ping,而能得知路由器WAN埠IP位址。

另一個D-Link路由器漏洞CVE-2021-40655就沒那麼幸運了,該漏洞影響已於2015年終止支援的DIR-605,此漏洞的概念性驗證程式碼在2021年公布,攻擊者一旦發送特製的請求到指定PHP網頁,就有機會在無須通過身分驗證的情況下,得知管理員使用者名稱及密碼。

雖然CISA並未在公告裡透露進一步的影響範圍,以及將上述漏洞用於攻擊的駭客身分,但駭客鎖定生命週期已經結束的D-Link路由器設備,這樣的現象近期有數起事故出現,用戶應考慮汰換以降低資安風險。

热门文章
BETFAIR 网络攻击80万用户资料泄露
游戏风向
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
英国确认各垂直行业的赌博税税率
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
首页
游戏
合作
发现
我的