D-Link DWR-932B Telnet Service 特権昇格

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
8.1	$0-$5k	0.00

要約情報

現在、D-Link DWR-932Bにて、重大と分類される脆弱性が確認されています。影響を受けるのは不明な関数コンポーネントTelnet Serviceのです。操作結果として特権昇格につながります。攻撃手法は利用できません。構成を変更することを推奨します。

現在、D-Link DWR-932Bにて、重大と分類される脆弱性が確認されています。影響を受けるのは不明な関数コンポーネントTelnet Serviceのです。操作結果として特権昇格につながります。 CWEによる問題の宣言は、CWE-912 につながります。バグは2015年12月04日に発見されました。この脆弱性は 2016年09月28日に Pierre Kimより「Bugtraq」の Mailinglist Postにて紹介されました。アドバイザリはseclists.orgにて共有されています。

技術的な情報は提供されていません。この脆弱性の普及度は平均未満です。攻撃手法は利用できません。エクスプロイトが公開されており、使用される可能性があります。現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。 MITRE ATT&CKプロジェクトはT1588.001という攻撃手法を宣言しています。この脆弱性の原因は、次のコード部分にあります：

#Sandro { for telnetd debug...
start-stop-daemon -S -b -a /bin/logmaster
#if [ -e /config2/telnetd ]; then
		start-stop-daemon -S -b -a /sbin/telnetd
#fi
#Sandro }

このエクスプロイトツールは概念実証として宣言されています。エクスプロイトのダウンロード先はpacketstormsecurity.comです。この脆弱性は少なくとも299日間、非公開のゼロデイ攻撃として扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$25k-$100k前後でした。

構成を変更することを推奨します。