Πολλαπλές κρίσιμες ευπάθειες επηρεάζουν τους δρομολογητές D-Link DIR-878 σε όλα τα μοντέλα και τις αναθεωρήσεις υλικολογισμικού. Αυτές οι συσκευές έφτασαν στο τέλος της ζωής τους στις 31 Ιανουαρίου 2021. Δεν θα λαμβάνουν πλέον ενημερώσεις ασφαλείας ή τεχνική υποστήριξη από την D-Link Corporation.
Τα τρωτά σημεία επιτρέπουν στους απομακρυσμένους εισβολείς να αποκτήσουν τον πλήρη έλεγχο των επηρεαζόμενων δρομολογητών χωρίς να απαιτείται έλεγχος ταυτότητας.
Δύο από τις πιο σοβαρές ευπάθειες (CVE-2025-60672 και CVE-2025-60673) περιλαμβάνουν ελαττώματα ένεσης εντολών στη διεπαφή ιστού CGI του προγράμματος.
Οι εισβολείς μπορούν να δημιουργήσουν ειδικά σχεδιασμένα αιτήματα HTTP που στοχεύουν τις λειτουργίες SetDynamicDNSSettings και SetDMZSettings για την εκτέλεση αυθαίρετων εντολών στη συσκευή.
Η D-Link ανακάλυψε το πρώτο ελάττωμα, το οποίο εκμεταλλεύεται ακατάλληλο χειρισμό των παραμέτρων ServerAddress και Hostname, που είναι αποθηκευμένες στο NVRAM χωρίς απολύμανση.
Το δεύτερο θέμα ευπάθειας επηρεάζει την παράμετρο διεύθυνσης IP στις ρυθμίσεις DMZ, η οποία χρησιμοποιείται ομοίως χωρίς επικύρωση από τη βιβλιοθήκη librcm.so.
Και τα δύο ζητήματα έχουν κρίσιμες βαθμολογίες CVSS 9,8, που σημαίνει ότι οι απομακρυσμένοι εισβολείς μπορούν να εκτελέσουν κώδικα χωρίς έλεγχο ταυτότητας ή αλληλεπίδραση με τον χρήστη.
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Βαθμολογία CVSS | Διάνυσμα επίθεσης | Σύγκρουση |
|---|---|---|---|---|
| CVE-2025-60672 | Command Injection | 9.8 (Κρίσιμο) | Δίκτυο/Δεν απαιτείται έλεγχος ταυτότητας | Απομακρυσμένη εκτέλεση κώδικα |
| CVE-2025-60673 | Command Injection | 9.8 (Κρίσιμο) | Δίκτυο/Δεν απαιτείται έλεγχος ταυτότητας | Απομακρυσμένη εκτέλεση κώδικα |
| CVE-2025-60674 | Υπερχείλιση buffer στοίβας | 8,5 (Υψηλό) | Φυσική πρόσβαση/USB | Αυθαίρετη Εκτέλεση Κώδικα |
| CVE-2025-60676 | Command Injection | 8,5 (Υψηλό) | Πρόσβαση τοπικής/εγγραφής στο /tmp | Αυθαίρετη Εκτέλεση Εντολής |
Το CVE-2025-60674 περιγράφει μια υπερχείλιση buffer στοίβας στη μονάδα διαχείρισης αποθήκευσης USB του δυαδικού rc, η οποία ενεργοποιείται όταν οι σειρικοί αριθμοί συσκευών USB διαβάζονται εσφαλμένα.
Αυτή η ευπάθεια απαιτεί φυσική πρόσβαση ή έλεγχο σε μια συσκευή USB, αλλά επιτρέπει την αυθαίρετη εκτέλεση κώδικα στο δρομολογητή. Το CVE-2025-60676 επηρεάζει τα δυαδικά αρχεία timelycheck και sysconf, επιτρέποντας στους εισβολείς με πρόσβαση εγγραφής στο/tmp/new_qos.
Το αρχείο κανόνων έχει ένα ελάττωμα που επιτρέπει στους εισβολείς να εκτελούν ανεπιθύμητες εντολές επειδή το σύστημα ενώνει κείμενο χωρίς να το ελέγχει. D-Link έντονα συνιστά ότι οι χρήστες αναβαθμίζουν σε προϊόντα τρέχουσας γενιάς ή εκτελούν αμέσως ολοκληρωμένα αντίγραφα ασφαλείας δεδομένων.
Οι οργανισμοί που αναπτύσσουν δρομολογητές DIR-878 θα πρέπει να απομονώσουν αυτές τις συσκευές από μη αξιόπιστα δίκτυα και να εφαρμόσουν περιοριστικούς κανόνες τείχους προστασίας.
Η συμβουλή της D-Link τονίζει ότι τα προϊόντα στο τέλος του κύκλου ζωής τους ενδέχεται να βλάψουν άλλες συνδεδεμένες συσκευές και η συνεχής χρήση ενέχει σημαντικούς κινδύνους για την ασφάλεια.
Οι χρήστες που δεν μπορούν να κάνουν αναβάθμιση θα πρέπει να διασφαλίσουν ότι οι συσκευές εκτελούν το πιο πρόσφατο διαθέσιμο υλικολογισμικό και διατηρούν ισχυρούς, μοναδικούς κωδικούς πρόσβασης διαχειριστή με ενεργοποιημένη την κρυπτογράφηση Wi-Fi.
