一个先前未公开的漏洞已经被发现VPN路由器从d-Link的，可能允许攻击者可以完全控制受影响的设备。威胁管理公司Digital Defense的漏洞研究小组(VRT)在D-Link的DSR-150，DSR-250，DSR-250，DSR-500和DSR-1000AC VPN路由器中发现了根命令注入漏洞。

运行固件版本3.14和3.17的设备容易受到潜在的攻击，而D-Link的VPN路由器通常可在许多流行的电子商务站点(如Amazon Best Buy，Office Depot和Walmart)上获得，这一点使情况更糟。

在大流行期间，随着越来越多的员工在家工作，一些员工可能正在使用受影响的设备之一连接到公司网络，这也可能使组织面临风险。

无需从WAN和LAN接口进行身份验证即可访问D-Link VPN路由器的易受攻击的组件，甚至可以通过Internet利用该漏洞。

此外，可以访问路由器Web界面的未经身份验证的远程攻击者可以以root用户身份执行任意命令，从而有效地使他们完全控制路由器。通过此访问，攻击者可以拦截或修改流量，导致拒绝服务状况，并对其他资产发起进一步的攻击，因为D-Link路由器可以同时连接多达15台设备。

Digital Defense的工程高级副总裁Mike Cotton在新闻稿中解释了该公司如何负责任地披露了D-Link的漏洞，他说：

“我们的标准做法是与组织合作，共同协调披露工作，以促进迅速解决漏洞。Digital Defense VRT与D-Link保持联系，D-Link致力于补丁工作。我们将继续与客户接触，以确保他们知道并能够采取措施减轻该漏洞带来的任何潜在风险。”

D-Link现在已修复此漏洞，并为所有受影响的路由器发布了更新的固件。用户可以查看有关该问题的公司咨询以获取更多信息，强烈建议他们下载并安装其设备的更新固件。