【安全资讯】D-Link拒绝修复60000台暴露的EoL调制解调器中的关键漏洞

概要：

D-Link公司近日宣布，将不修复其60000台已达到生命周期终点（EoL）的调制解调器中的一个关键安全漏洞。该漏洞允许未经身份验证的远程攻击者更改用户密码，从而完全控制设备。此事件引发了对网络安全和用户数据保护的广泛关注。

主要内容：

根据安全研究员Chaio-Lin Yu的报告，D-Link DSL6740C调制解调器存在一个严重的安全漏洞（CVE-2024-11068），其CVSS评分高达9.8，允许攻击者通过特权API访问修改任何用户的密码，进而访问调制解调器的Web、SSH和Telnet服务。此外，还有两个高危漏洞（CVE-2024-11067和CVE-2024-11066），分别涉及路径遍历和命令执行，进一步加剧了安全隐患。

目前，通过FOFA搜索引擎发现，约有60000台D-Link DSL6740C调制解调器在互联网上暴露，主要集中在台湾。尽管D-Link明确表示，EoL设备不再提供更新，但用户仍被建议限制远程访问并设置安全密码，以降低潜在风险。

TWCERTCC还发布了针对同一设备的四个高危OS命令注入漏洞的通告，显示出该设备的安全问题相当严重。D-Link的这一决定不仅影响了用户的设备安全，也引发了对网络安全责任的讨论，尤其是在设备生命周期结束后，厂商应承担的安全维护责任。