資安【漏洞預警】D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞,允許攻擊者遠端執行任意程式碼或造成阻斷服務

 

[主旨說明:]【漏洞預警】D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞,允許攻擊者遠端執行任意程式碼或造成阻斷服務       

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0051

 

友訊科技(D-Link)為臺灣網路設備的製造商,旗下產品包含路由器、無線網卡、視訊鏡頭及儲存硬碟等。

南韓研究人員Pierre Kim在今年9月公開揭露,D-Link所生產之DIR-850L AC1200雙頻Gigabit無線路由器的韌體存在多個安全漏洞(CVE-2017-14413~CVE-2017-14430),可能導致下列多項資安風險:

1.允許攻擊者可遠端執行跨網站腳本攻擊。

2.因未使用加密傳輸協定,導致攻擊者可透過中間人攻擊方式獲取帳號密碼等資訊。

3.攻擊者可遠端執行任意程式碼或造成阻斷服務。

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

D-Link 850L韌體版本小於1.14.B07版本

D-Link 850L韌體版本小於2.07.B05版本

[建議措施:]

1.請檢查所使用之韌體是否為受影響之版本,檢查方式:

(1)登入DIR-850L管理介面,

(2)點選「工具」,

(3)點選「韌體」,即可看到目前所使用之韌體版本與韌體日期資訊。

2.目前D-Link官方尚未針對此弱點釋出修復的韌體版本,若使用韌體為受影響版本,請持續關注D-Link官方網頁釋出的韌體更新版本。

[參考資料:]

1.http://thehackernews.com/2017/09/d-link-router-hacking.html

 

2.https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

 

3.http://support.dlink.com/ProductInfo.aspx?m=DIR-850L

檔案說明
 DIR-850L Wireless AC1200 雙頻Gigabit無線路由器

 

 

更新1.20WWb03此版韌體前,請確認DIR-850L已更新韌體至1.15WWb04版本,否則將無法完成手動或線上韌體更新。


 

注意事項:
*
韌體更新前請不要透過無線的方式來進行韌體更新,請透過有線網路的方式來更新。
*
韌體更新後強烈建議將設備回復預設值(reset)之後,再重新進行相關設定使用。
*
由於相關程式內容有所更動,所以不建議使用舊版韌體所匯出的設定檔回存以免造成設備無法正常使用。


 

韌體更新步驟 :
1
、進入路由器網頁設定畫面  (http://192.168.0.1)
2
、在【工具】【韌體】項目中,在【韌體更新】中按下【瀏 覽】按鈕,點選剛才下載的韌體檔。
3
、按下【上傳】按鈕開始更新韌體。


 

意: 韌體更新約需3分鐘完成,請依照畫面指示,韌體更新過程中請勿插拔設備電源及網路線,以免韌體更新失敗造成設備故障。

 (此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

 

 

 

 

 

圖資中心 專任助理 

慈中和 089-518162 0932226120

 


相關檔案: DIR850LA1_FW120WWb03.zip -- 9682KB