Május 16-án a CISA két end-of-life D-Link routert adott a KEV katalógusához, felhívva a kiberbiztonsági csapatok figyelmét a mihamarabbi patchelésre, illetve amennyiben lehetséges, az eszközök kivonására, mivel kihasznált sérülékenységekkel rendelkeznek.
A CISA állítása alapján az első hiba – mely CVE-2014-100005 néven került követhető nyomon – a D-Link DIR-600 routereket támadta CSRF-vel. Ez a hiba lehetővé tette, hogy a router feletti irányításátvétel során a támadó megváltoztassa annak konfigurációit (pl. hitelesítetlen hozzáférés a hálózatok megváltoztatásához). Másodszor, egy információ közzétételi sérülékenységet – CVE-2021-40655 – vezettek a listára, amely kihasználásával a támadó egy felhasználói nevet és a hozzátartozó jelszót szerezhette meg a /getcfg.php oldalra küldött kérés meghamisításával.
Sarah Jones, a Critical Start CTI kutatója szerint a patchelést minél előbb meg kell ejteni, mert a sérülékenységek egyszerűen kihasználhatóak, amelyre már sor is került. A CVE-2014-100005 esetében a legjobb megoldás az eszközök teljes cseréje, mivel azok a már nem támogatott, régebbi verziójú routereket támadják. Casey Ellis, a Bugcrowd alapítója hozzátette, hogy a hibák leginkább otthoni és SOHO hálózati eszközöket érintettek. Ez azt jelenti, hogy amennyiben egy támadó képes a router konfigurációt megváltoztatni, létrehozhatnak egy core perzisztenciát, így akár az egész hálózathoz hozzáférhetnek.
Kiemelte azt is, hogy a jelenség a COVID idején történő home officera történő átállás során kezdődött, de a legtöbb helyen a járványhelyzet után is megmaradt a hibrid munkavégzés, így a támadások fenyegetettsége továbbra is releváns.
