CVE-2015-2051

D-Link DIR-645 Router

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-10

Официальное описание

D-Link DIR-645 Wired/Wireless Router allows remote attackers to execute arbitrary commands via a GetDeviceSettings action to the HNAP interface.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в веб-интерфейсе HNAP (Home Network Administration Protocol) маршрутизатора D-Link DIR-645. Удаленный злоумышленник может отправить специально сформированный HTTP-запрос к действию GetDeviceSettings, что приведет к выполнению произвольных команд на устройстве с правами администратора. Это позволяет полностью скомпрометировать маршрутизатор.

Как исправить

Официальное решение — обновление прошивки. Производитель выпустил патч в обновленной версии прошивки.

  1. Проверьте текущую версию прошивки:

    • Войдите в веб-интерфейс маршрутизатора (обычно http://192.168.0.1).
    • Перейдите в раздел Tools -> Firmware.
    • Запишите номер версии в строке Current Version.

  2. Скачайте и установите актуальную прошивку:

    • Перейдите на официальную страницу поддержки D-Link для модели DIR-645.
    • ВАЖНО: Загрузите прошивку версии 1.04 или выше. Например, DIR645_FIRMWARE_1.04.ZIP.
    • В том же разделе Tools -> Firmware веб-интерфейса нажмите Обзор, выберите скачанный файл и нажмите Apply.
    • Не выключайте и не перезагружайте устройство во время процесса обновления.

Временное решение

Если немедленное обновление невозможно, выполните следующие шаги для снижения риска:

  1. Отключите доступ к веб-интерфейсу из WAN (Интернета):

    • В веб-интерфейсе перейдите в Advanced -> Remote Management.
    • Убедитесь, что опция Enable Remote Management выключена (стоит галочка OFF). Порт управления должен быть доступен только из локальной сети (LAN).

  2. Ограничьте доступ по Wi-Fi сложным паролем WPA2:

    • Перейдите в Setup -> Wireless Settings.
    • Убедитесь, что Security Mode установлен в WPA2-Personal.
    • Задайте длинный и сложный Pre-Shared Key (пароль).

  3. Используйте правила брандмауэра (если доступны):

    • В разделе Advanced -> Firewall активируйте все основные функции брандмауэра.
    • Рассмотрите возможность добавления правила, блокирующего все входящие WAN-соединения, кроме необходимых (например, для VPN).

Примечание: Временные меры лишь снижают поверхность атаки. Полное устранение уязвимости возможно только после установки патченной прошивки.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей