Diversi prodotti D-Link fuori produzione sono stati colpiti da una grave vulnerabilità. La risposta a tale situazione da parte dell’azienda non è quella attesa. D-Link ha consigliato di disconnettere tali dispositivi dalla rete. La motivazione è semplice: non verranno rilasciati aggiornamenti correttivi. Tale situazione potrebbe suonare familiare, poiché nel corso del 2024 si sono già verificati due episodi simili. In tali casi, la problematica riguardava unità NAS per utenti privati e piccole imprese. Mentre quest’ultima volta coinvolge quattro modelli di router VPN. Eppure, il risultato rimane invariato. I dispositivi sono vulnerabili senza alcuna possibilità di patch.
D-Link non rilascia un aggiornamento correttivo
I router interessati sono i modelli DSR-150, DSR-150N. DSR-250 e DSR-250N. La vulnerabilità è stata individuata dal ricercatore noto come delsploit. Anche se i dettagli tecnici della falla non siano stati divulgati per prevenire attacchi su larga scala, il ricercatore afferma che potrebbe consentire l’esecuzione di codice non autorizzato. Ciò lascia presupporre un rischio significativo.
Una particolarità di tale vicenda è che il supporto software per i router coinvolti è terminato relativamente di recente, circa sei mesi fa. Se il problema fosse stato scoperto in primavera, D-Link avrebbe potuto rilasciare un aggiornamento correttivo, o almeno è ciò che si può sperare. Ad oggi, però, l’azienda si limita a consigliare di scollegare i dispositivi vulnerabili e a incentivare l’acquisto di modelli più recenti.
Per chi decidesse di continuare a utilizzare i dispositivi interessati, D-Link raccomanda di aggiornare il firmware all’ultima versione disponibile. Ciò pur ammettendo implicitamente che tale misura offre una protezione quasi nulla contro la nuova specifica vulnerabilità. Inoltre, l’azienda segnala l’esistenza di firmware alternativi sviluppati da terze parti. Una soluzione che però può sembrare più un’ammissione di resa che un reale supporto. Quanto accaduto evidenzia l’importanza di un supporto software prolungato e di soluzioni più inclusive per affrontare falle critiche in dispositivi ormai fuori produzione.
