D-Link ने 60,000 पुराने modem के लिए security patch न देने की घोषणा की

 (techradar.com)
1 पॉइंट द्वारा GN⁺ 2024-11-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • सुरक्षा शोधकर्ताओं द्वारा खोजी गई कमजोरियाँ

    • पुराने D-Link modem में गंभीर security vulnerabilities पाई गईं.
    • D-Link ने इन vulnerabilities के लिए patch जारी करने के बजाय hardware upgrade की सिफारिश की.
    • लगभग 60,000 vulnerable devices मौजूद हैं, जिनमें से अधिकांश Taiwan में स्थित हैं.

  • D-Link की प्रतिक्रिया

    • D-Link ने EoL (End of Life) स्थिति में पहुँच चुके devices के लिए patch न देने का फैसला किया.
    • उपयोगकर्ताओं को नए model से बदलने की सलाह दी गई.
    • D-Link NAS devices में भी इसी तरह की vulnerabilities पाई गईं, लेकिन इनके लिए भी patch उपलब्ध नहीं कराया जाएगा.

  • मिली हुई कमजोरियों का विवरण

    • CVE-2024-11068: API access के जरिए password बदलने की vulnerability, severity 9.8.
    • CVE-2024-11067: path traversal vulnerability, severity 7.5.
    • CVE-2024-11066: remote code execution vulnerability, severity 7.2.

  • अतिरिक्त सिफारिशें

    • यदि router को तुरंत बदला नहीं जा सकता, तो remote access सीमित करने और मजबूत password सेट करने की सिफारिश की गई.
    • router सबसे अधिक attack किए जाने वाले endpoints में से एक है.

  • अन्य जानकारी

    • D-Link ने EOL/EOS तक पहुँच चुके devices को retire कर बदलने की सिफारिश की.
    • Taiwan Computer and Response Center (TWCERTCC) ने command injection की 4 अतिरिक्त vulnerabilities भी खोजीं.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-11-28
Hacker News टिप्पणियाँ

  • D-Link के पुराने modem के लिए security patch न होने वाली खबर का परिचय

    • D-Link का security के लिहाज़ से कमज़ोर उपकरण जारी करने का इतिहास रहा है, और कोई दूसरा उत्पाद खरीदना बेहतर है

  • EU Product Liability Directive उत्पाद की security बनाए रखने के लिए updates की मांग करता है

    • जर्मनी में यह अपेक्षा है कि उत्पाद और उससे जुड़ा app औसतन 5 साल तक update किए जाएँ

  • long-term support products खोजने वालों के लिए Ubiquiti (Unifi) और OpenWRT की सिफारिश

    • OpenWRT-supported devices सस्ते होते हैं और लंबे समय तक support मिलने की संभावना अधिक होती है

  • सिर्फ उत्पाद के support promise ही नहीं, बल्कि कंपनी के software quality भी महत्वपूर्ण है

  • पुराने Wi‑Fi router की vulnerabilities का analysis करके ब्लॉग पर पोस्ट करने की कोशिश का अनुभव साझा किया

    • manufacturer ने updates बंद कर दिए थे, इसलिए नया उपकरण खरीदना पड़ा

  • Ubiquiti Edge Router इस्तेमाल किया, लेकिन लंबी अवधि में संतोषजनक नहीं लगा

    • Protectli box खरीदकर coreboot flash किया और pfSense इस्तेमाल किया, फिर OPNSense पर चले गए

  • consumer network equipment security के लिहाज़ से कमज़ोर होते हैं, और जो लोग security को गंभीरता से लेते हैं उन्हें इनका इस्तेमाल नहीं करना चाहिए

  • पुराने hardware पर OpenWRT flash करने की सिफारिश

    • ऐसा hardware खरीदना बेहतर है जिस पर pfSense या OPNSense चल सके

  • D-Link के product end-of-life से जुड़े bug की पृष्ठभूमि का विवरण

    • OpenWRT इस्तेमाल करने का तरीका परिचित कराया गया

  • CVSS score पर आलोचना

    • CVE score security vulnerabilities के वास्तविक प्रभाव का आकलन करने में उपयोगी नहीं हैं

  • यह अफसोस जताया गया कि MikroTik router का UI गैर-विशेषज्ञों के लिए उपयुक्त नहीं है

    • यह सस्ता है और लंबे समय तक support मिलता है, लेकिन UI गैर-विशेषज्ञों के लिए कठिन है