CVE-2019-16920

D-Link Multiple Routers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Multiple D-Link routers contain a command injection vulnerability which can allow attackers to achieve full system compromise.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в веб-интерфейсе управления (функция ping) нескольких маршрутизаторов D-Link позволяет выполнить инъекцию команд через параметр ipaddr. Атакующий, имеющий доступ к веб-интерфейсу (например, из локальной сети или если интерфейс выведен в WAN), может отправить специально сформированный HTTP-запрос для выполнения произвольных команд с правами root на устройстве. Это приводит к полному компрометированию системы.

Как исправить

Решение — обновить прошивку маршрутизатора до версии, в которой уязвимость устранена.

  1. Определите точную модель вашего маршрутизатора D-Link. Обычно она указана на наклейке на нижней части устройства (например, DIR-825, DIR-822, DAP-1522 и другие из списка уязвимых).
  2. Перейдите на официальный сайт поддержки D-Link: https://support.dlink.ru/
  3. Найдите свою модель в разделе загрузок и скачайте последнюю доступную версию прошивки. Для уязвимых моделей требуются версии, выпущенные после сентября 2019 года. Примеры патченных версий:
    • Для DIR-825: версия прошивки 3.0.3 и выше.
    • Для DIR-822: версия прошивки 3.0.2 и выше.
    • Для DAP-1522: версия прошивки 1.10b04 и выше.
  4. Обновите прошивку через веб-интерфейс маршрутизатора. Процедура:
    • Войдите в веб-интерфейс (обычно http://192.168.0.1).
    • Перейдите в раздел Система (System) -> Обновление ПО (Firmware Update).
    • Загрузите скачанный файл прошивки и дождитесь полной перезагрузки устройства.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • В настройках маршрутизатора убедитесь, что удаленный доступ (Remote Management) отключен (должен быть доступен только из локальной сети/LAN).
    • По возможности, измените IP-адрес локальной сети маршрутизатора со стандартного 192.168.0.1 на менее предсказуемый (например, 10.10.10.1).

  2. Измените учетные данные по умолчанию:

    • Обязательно смените пароль администратора по умолчанию на сложный и уникальный. Уязвимость требует аутентификации в системе.

  3. Настройте правила на межсетевом экране (если есть):

    • Если маршрутизатор находится за вышестоящим фаерволом, явно запретите входящие подключения к его IP-адресу на порты 80 (HTTP) и 443 (HTTPS) из внешних сетей (WAN).

  4. Рассмотрите возможность замены устройства, если производитель больше не выпускает обновлений безопасности для вашей модели.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей