D-Linkは9月1日(現地時間)、「D-Link Technical Support」において、同社の無線LANルータ「DIR-846W」に複数の脆弱性が存在すると発表した。これら脆弱性を悪用されると、認証していない第三者に遠隔から任意のコマンドを実行される可能性がある。
脆弱性の詳細
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-41622 - 「/HNAP1/」インタフェースにリモートコード実行(RCE: Remote Code Execution)の脆弱性
- CVE-2024-44340 - SetSmartQoSSettingsにリモートコード実行(RCE)の脆弱性。攻撃には認証が必要
- CVE-2024-44341 - lan(0)_dhcps_staticlistパラメータを介したリモートコード実行(RCE)の脆弱性
- CVE-2024-44342 - wl(0).(0)_ssidパラメータを介したリモートコード実行(RCE)の脆弱性
弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- DIR-846Wのすべてのハードウェアリビジョン
対策
4件の脆弱性のうち、3件の深刻度は緊急(Critical)と評価されており注意が必要。当該製品は2020年にサポート終了(EOL: End-of-Life)となっており、今後修正ファームウェアが提供される見込みはない。D-Linkは当該製品を運用しているユーザーに対し、速やかな製品の使用中止または新しい製品への交換を推奨している。