8 types routers D-Link zijn lek. Fabrikant weet dat sinds mei, maar doet niets

Acht types routers van het merk D-Link kunnen door drie fouten in de software eenvoudig gehackt worden.

Dat blijkt mei 2018 al te zijn ontdekt door Blazej Adamczyk van de Silesian University of Technology in Polen.

Adamczyk stelde de fabrikant van D-Link volgensThreatpost meteen op de hoogte. Die beloofde meteen met updates te komen.

Leveranciers zijn daar sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht. Ze moeten klanten informeren en passende maatregelen treffen om schade als gevolg van een lek te voorkomen.

Patches D-Link nog steeds niet beschikbaar

Toen de patches voor de twee routers in september nog steeds niet beschikbaar waren waarschuwde de Poolse onderzoeker de fabrikant dat hij de details van de lekken zou publiceren als de patches niet binnen een maand beschikbaar zouden zijn.

Adamczyk heeft nu besloten zijn bevindingen te publiceren.

Het betreft 8 D-Link routers uit de DWR-reeks:

  1. D-Link DWR-111
  2. D-Link DWR-116 
  3. D-Link DWR-140 
  4. D-Link DWR-512 
  5. D-Link DWR-640 
  6. D-Link DWR-712 
  7. D-Link DWR-912
  8. D-Link DWR-921 

Van de genoemde modellen zal de fabrikant alleen de eerste twee modellen patchen. De andere modellen zouden hun end-of-life hebben bereikt en niet meer ondersteund worden.

De drie fouten in de D-Link software:

1. CVE-2018-10822 betreft een lek in de webinterface van de D-Link routers.
2. CVE-2018-10824 betreft het in plain text opslaan van wachtwoorden in een tijdelijk bestand.
3. CVE-2018-10823 stelt kwaadwillenden in staat om eigen codes op het apparaat te injecteren.