D-Link製ルータにLinuxで任意のコマンドが実行可能な脆弱性

米D-Linkはこのほど、同社が提供している複数の無線ルータに任意のコマンドが実行できる脆弱性が存在することを「D-Link Router : HNAP Privilege Escalation - Command Injection｜D-Link UK」で明らかにした。細工されたHNAPコマンドを送信されると、ルータで使われているLinuxシステムにおいて認証なしで任意のコマンドを実行されてしまうという。

脆弱性が存在するプロダクトおよびバージョンは次のとおり。

DIR-890L A1 1.03bおよびこれより前のバージョン
DIR-880L A1 1.02b13およびこれより前のバージョン
DIR-868L A1 1.09B08およびこれより前のバージョン
DIR-860L A1 1.08B02およびこれより前のバージョン
DIR-850L A1 1.12B05およびこれより前のバージョン
DIR-850L B1 2.03B01およびこれより前のバージョン
DIR-818LW A1 1.04B03およびこれより前のバージョン
DIR-816L A1 2.05B02およびこれより前のバージョン
DIR-629 A1 1.01およびこれより前のバージョン
DIR-820LW B1 2.01およびこれより前のバージョン
DIR-817LW B1 1.03B05およびこれより前のバージョン

本稿執筆時点では、修正されたファームウェアの提供は一部のプロダクトに限定されており、その他のプロダクトについては今月中または6月末にファームウェアの提供が予定されている。該当するプロダクトを使用している場合は、メーカからの情報に注意するとともに、ファームウェアが更新されたタイミングで迅速にアップデートを適用することが推奨される。