Lo scorso settembre Fortinet ha scoperto una falla in alcuni prodotti D-Link e ne ha diligentemente segnalato l’esistenza all’azienda, sperando che questa rilasciasse una correzione in tempi accettabili.

La vulnerabilità in questione è piuttosto seria, in quanto chi la sfrutta ottiene la possibilità di eseguire codice da remoto e l’accesso completo al dispositivo compromesso.

Ad aumentare la pericolosità del problema c’è il fatto che esso, dovuto a un non perfetto sistema di autenticazione, si può sfruttare con relativa facilità: in pratica, durante la fase di login la verifica delle credenziali non avviene in maniera completamente affidabile, e così basta inviare un segnale speciale per far capitolare i dispositivi fallati.

Lo scenario qui descritto potrebbe essere definito come “abbastanza standard” poiché la scoperta di nuovi bug e falle avviene di continuo: non sarebbe insomma nemmeno stato degno di menzione se D-Link non si fosse rifiutata di sviluppare una patch.

Il motivo? Semplicissimo: i dispositivi coinvolti non sono più supportati. L’unica soluzione che D-Link si sente di raccomandare è «sostituire il dispositivo con un dispositivo nuovo che sia attivamente supportato. Chi continua a utilizzare questi dispositivi lo fa a proprio rischio: D-Link non ne raccomanda un uso ulteriore».

I prodotti in questione sono tutti router: si tratta dei modelli D-Link DIR-655, D-Link DIR-866L, D-Link DIR-652 e D-Link DHP-1565.

Gli utenti che tengono alla propria sicurezza non possono quindi fare altro che rassegnarsi a doverli pensionare, magari dando fiducia – in vista del prossimo acquisto – a un’azienda che curi un po’ più attentamente le loro esigenze.

O, magari, ora che la faccenda sta diventando pubblica D-Link tornerà sui propri passi e deciderà di sviluppare una patch: dopotutto, quando è stata scoperta la vulnerabilità del NAS DNS-320 al ransomware Cr1ptT0r, l’azienda ha rilasciato un aggiornamento del firmware specifico per quel problema, nonostante il supporto fosse cessato da qualche anno.