CVE-2019-16057

Суть уязвимости

Уязвимость в скрипте login_mgr.cgi устройства D-Link DNS-320 позволяет удаленному злоумышленнику выполнить произвольный код на устройстве без аутентификации. Это возможно из-за некорректной обработки входных данных в веб-интерфейсе управления.

Как исправить

Официальное исправление предоставлено производителем. Необходимо обновить встроенное ПО (firmware) устройства до версии 2.06.B01 или новее.

1. Проверьте текущую версию прошивки:

   • Войдите в веб-интерфейс устройства (обычно http://<IP-адрес_устройства>).
   • Перейдите в раздел System -> Firmware.
   • Запишите номер текущей версии.

2. Загрузите и установите патч:

   • Скачайте последнюю версию прошивки с официального сайта поддержки D-Link для модели DNS-320.
   • В веб-интерфейсе в разделе System -> Firmware нажмите Обзор, выберите скачанный файл и нажмите Apply.
   • Дождитесь завершения процесса перезагрузки устройства.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничьте доступ к веб-интерфейсу:

   • В настройках маршрутизатора или корпоративного межсетевого экрана заблокируйте входящий доступ к порту веб-интерфейса устройства (по умолчанию TCP/80 и TCP/443) из внешней сети (Интернет).
   • Разрешите доступ к веб-интерфейсу только с доверенных IP-адресов (например, из внутренней сети офиса).

2. Отключите веб-интерфейс (крайняя мера):

   • Если удаленное управление не требуется, полностью отключите веб-сервер устройства через его настройки (меню System -> Network -> HTTP/HTTPS).
   • Управление файлами в этом случае будет возможно только по протоколам SMB/AFP/FTP.

3. Изолируйте устройство в сети:

   • Разместите DNS-320 в отдельной VLAN, изолированной от критически важных сегментов сети (серверов, рабочих станций).