CVE-2021-40655

D-Link DIR-605 Router

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-05-16

Официальное описание

D-Link DIR-605 routers contain an information disclosure vulnerability that allows attackers to obtain a username and password by forging a post request to the /getcfg.php page.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-40655 представляет собой критическую уязвимость раскрытия конфиденциальной информации (Information Disclosure) в маршрутизаторах D-Link DIR-605. Проблема заключается в недостаточной проверке прав доступа при обработке POST-запросов к скрипту /getcfg.php.

Злоумышленник может отправить специально сформированный HTTP POST-запрос к этому эндпоинту, что заставит устройство выдать конфигурационные данные в открытом виде. В теле ответа будут содержаться учетные данные администратора (логин и пароль), что позволяет атакующему получить полный контроль над устройством.

Как исправить

Данная модель маршрутизатора (DIR-605) признана производителем устаревшей (End of Life / End of Service Life). Это означает, что официальные исправления безопасности (Patch) для этой модели больше не выпускаются.

Единственным надежным способом устранения уязвимости является замена оборудования: 1. Отключите устройство от сети Интернет. 2. Замените маршрутизатор на современную модель, которая получает регулярные обновления безопасности. 3. При настройке нового устройства установите сложный пароль и отключите функции удаленного управления.

Временные меры

Если немедленная замена устройства невозможна, необходимо максимально ограничить вектор атаки, минимизировав доступ к веб-интерфейсу управления:

  1. Отключите функцию удаленного управления (Remote Management) в настройках маршрутизатора, чтобы закрыть доступ к /getcfg.php из внешней сети (WAN).
  2. Ограничьте доступ к веб-интерфейсу только доверенными IP-адресами внутри локальной сети.
  3. Настройте правила межсетевого экрана для блокировки входящего трафика на порты 80 и 443 со стороны внешнего интерфейса.
  4. В качестве радикальной меры для продвинутых пользователей (если аппаратная ревизия позволяет), рассмотрите возможность установки альтернативной прошивки с открытым исходным кодом (например, OpenWrt), однако это делается на свой страх и риск и может привести к выходу устройства из строя.

Проверка доступности порта управления извне (выполнять с внешнего хоста):

nmap -p 80,443 <ваш_внешний_ip>
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей