Det har varit ett dåligt år att äga en D-Link-router. Några dagar efter att en koreansk forskare avslöjade 10 katastrofala sårbarheter i en enda populär D-Link-routermodell har ett separat säkerhetsföretag upptäckt ytterligare tre brister i ytterligare tre modeller och till och med tillhandahållit bevis på koncept.

D-Links DIR-890L-router. Kredit: D-Link
(Bildkredit: D-Links DIR-890L-router. Upphovsman: D-Link)

Likheterna går ännu djupare, eftersom båda enheterna kontaktade D-Link innan de börsnotera, men beslutade att företaget inte kunde åtgärda routerfel på en användarvänlig tidsskala. D-Link har redan lappat en av de nyupptäckta bristerna, men de andra två är fortfarande väldigt mycket, och det enda säkra sättet att skydda dig är att använda en annan router.

Den nya rapporten kommer från Bädda in, ett säkerhetsföretag i Berkeley, Kalifornien som fokuserar på hårdvaruskydd. Forskare på företaget upptäckte tre utnyttjbara brister i D-Links DIR-890L-, DIR-885L- och DIR-895L-routrar, men tror att andra modeller i DIR-8XX-linjen är förmodligen också "cruising för en blåmärken." (Den separata felet vi skrev om igår involverade DIR-850L modell.)

MER: Bästa Wi-Fi-routrar

Första saker först: Uppdatering av din D-Link-router till den senaste firmware löser ett problem som Embedi hittade. (Om du inte är säker på hur du gör det, besök D-Link teknisk supportwebbplats och sök efter din routermodell.)

Embedi upptäckte ett fel i routrarnas phpcgi-protokoll, som - i extremt enkla termer - behandlar behörighetsförfrågningar för routern. Genom att skicka en smart programmerad (men inautentisk) förfrågan kunde forskarna ta reda på en routers användarnamn och lösenord.

Trots att Embedi meddelade D-Link om routrarnas andra problem för tre månader sedan förblir två av bristerna fortfarande ojämna. En av dem involverar ett stack-overflow-fel, som i grund och botten bara översvämmar systemet med nonsensdata tills det gör vad angriparna vill att det ska göra.

Den andra felet - ironiskt nog - låter en angripare kapa en router genom att försöka uppdatera firmware i routerns återställningsläge. Så det är kanske inte värt att uppdatera din firmware ännu.

Eftersom en router kontrollerar ett helt hemnätverkets internettrafik, krävs det inte mycket fantasi för att redogöra för vad en hacker skulle kunna göra med dessa brister. Avlyssning av internettrafik - inklusive inloggningar för e-post, sociala medier och finansinstitut - skulle vara enkelt, liksom omdirigering av frågor för populära webbplatser till skadliga sidor som kan stjäla referenser eller injicera skadlig kod.

Embedi kanske inte har hjälpt saker, som det publicerades arbetande exploater för varje brist på sin Github-sida.

Tom's Guide har kontaktat D-Link för kommentarer om historien, men har ännu inte fått något svar.

För tillfället, om du använder en D-Link-router men har ett reservdelslagring någonstans, är det förmodligen bättre att använda din säkerhetskopia. Netgear- och Linksys-routrar är inte perfekta, men de har åtminstone en ganska bra historia av lappa sina brister i tid.

  • Bästa antivirusprogram och appar
  • Din routers säkerhet stinker. Så här fixar du det
  • Bästa lösenordshanterare

Få omedelbar tillgång till senaste nyheterna, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen spam, vi lovar. Du kan när som helst avsluta prenumerationen så delar vi aldrig dina uppgifter utan ditt tillstånd.