D-Link ได้ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ Remote Command Execution จำนวน 3 รายการ ซึ่งส่งผลกระทบต่อเราเตอร์รุ่น DIR-878 ทุกโมเดล และทุกเวอร์ชันของฮาร์ดแวร์ โดยแม้ว่าเราเตอร์รุ่นนี้จะสิ้นสุดระยะเวลาการ support ไปแล้ว แต่ก็ยังคงมีวางจำหน่ายอยู่ในหลายตลาด
รายละเอียดเชิงเทคนิค และโค้ด Proof-of-Concept (PoC) ที่แสดงให้เห็นถึงช่องโหว่ดังกล่าว ได้รับการเผยแพร่โดยนักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Yangyifan
เนื่องจาก เราเตอร์รุ่น DIR-878 เป็นรุ่นที่นิยมใช้งานกันทั่วไปภายในบ้าน และสำนักงานขนาดเล็ก โดยในช่วงที่เปิดตัวเมื่อปี 2017 นั้น รุ่นนี้ได้รับการยกย่องว่าเป็นเราเตอร์ไร้สายแบบ Dual-band ที่มีประสิทธิภาพสูง
แม้ว่าอุปกรณ์รุ่นนี้จะไม่ได้รับการ support แล้ว แต่ปัจจุบันก็ยังสามารถหาซื้อได้ทั้งในรูปแบบของใหม่ และมือสอง โดยมีราคาอยู่ที่ระหว่าง 75 ถึง 122 ดอลลาร์สหรัฐ
อย่างไรก็ตาม เนื่องจากรุ่น DIR-878 ได้เข้าสู่สถานะสิ้นสุดระยะเวลาการ support ไปแล้วตั้งแต่ปี 2021 ทาง D-Link จึงได้ออกคำเตือนว่าจะ ไม่มีการปล่อยอัปเดตความปลอดภัย สำหรับรุ่นนี้อีกต่อไป และแนะนำให้ผู้ใช้เปลี่ยนไปใช้ผลิตภัณฑ์รุ่นอื่นที่ยังคงได้รับการ support อยู่ในปัจจุบันแทน
สรุปโดยรวมแล้ว ประกาศแจ้งเตือนด้านความปลอดภัยของ D-Link ระบุถึงช่องโหว่ทั้งหมด 4 รายการ โดยในจำนวนนี้มีเพียงรายการเดียวเท่านั้นที่ผู้โจมตีจำเป็นต้องเข้าถึงตัวเครื่องโดยตรง หรือควบคุมอุปกรณ์ผ่าน USB จึงจะสามารถทำการโจมตีได้
- CVE-2025-60672 - ช่องโหว่แบบ Remote unauthenticated command execution ผ่านพารามิเตอร์ SetDynamicDNSSettings ที่ถูกบันทึกไว้ใน NVRAM และถูกนำไปเรียกใช้ในคำสั่งของระบบ
- CVE-2025-60673 - ช่องโหว่แบบ Remote unauthenticated command execution ผ่านการตั้งค่า SetDMZSettings โดยอาศัยค่า IPAddress ที่ไม่มีการตรวจสอบความปลอดภัย ซึ่งถูก inject เข้าไปในคำสั่ง iptables
- CVE-2025-60674 - ช่องโหว่แบบ Stack overflow ในกระบวนการจัดการอุปกรณ์จัดเก็บข้อมูล USB สาเหตุมาจากฟิลด์ "Serial Number" มีขนาดใหญ่เกินกำหนด (ช่องโหว่ดังกล่าวเป็นการโจมตีที่ต้องเข้าถึงตัวเครื่องโดยตรง หรือทำผ่านอุปกรณ์ USB เท่านั้น)
- CVE-2025-60676 - ช่องโหว่แบบ Arbitrary command execution ผ่าน field ข้อมูลที่ไม่มีการตรวจสอบความปลอดภัยในไฟล์ /tmp/new_qos.rule ซึ่งถูกประมวลผลโดย binary ที่เรียกใช้ฟังก์ชัน system()
แม้ว่าช่องโหว่เหล่านี้จะสามารถถูกโจมตีได้จากระยะไกล และมีโค้ดสำหรับโจมตีระบบเผยแพร่สู่สาธารณะแล้ว แต่ทาง CISA ได้ประเมินระดับความรุนแรงของช่องโหว่เหล่านี้ไว้ที่ระดับ Medium
อย่างไรก็ตาม การที่มีโค้ดโจมตีระบบเผยแพร่ออกมาสู่สาธารณะนั้น มักจะดึงดูดความสนใจจากกลุ่มผู้ไม่หวังดี โดยเฉพาะกลุ่มผู้ควบคุม Botnet ที่มักจะนำช่องโหว่เหล่านี้ไปบรรจุในชุดเครื่องมือโจมตีของตน เพื่อขยายขอบเขตเป้าหมายให้กว้างยิ่งขึ้น
ยกตัวอย่าง เช่น RondoDox ซึ่งเป็น botnet ขนาดใหญ่ ที่ใช้การโจมตีจากช่องโหว่ที่เปิดเผยแล้วมากกว่า 56 รายการ (ซึ่งบางรายการส่งผลกระทบต่ออุปกรณ์ D-Link ด้วย) และพวกเขายังคงมีการเพิ่มรายการช่องโหว่ใหม่ ๆ เข้าไปอย่างต่อเนื่อง
และเมื่อเร็ว ๆ นี้ สำนักข่าว BleepingComputer ได้รายงานข่าวเกี่ยวกับ Aisuru botnet ที่ได้ทำการโจมตีแบบ DDoS ครั้งใหญ่ใส่เครือข่าย Azure ของ Microsoft โดยยิงปริมาณข้อมูลสูงถึง 15.72 Tbps จาก IP address มากกว่า 500,000 IP
ที่มา : bleepingcomputer
You must be logged in to post a comment.