Forvirringen er total: Firmware-opdatering har ikke lukket huller i routere

D-Link har udsendt firmware-opdatering, der skulle lukke sårbarheder i selskabets routere - men det har bare skabt nye huller, advarer ekspert.

Artikel top billede

D-link får nu én på sinkadusen af en sikkerhedsekspert, der mener, at det slet ikke passer, at selskabet har lukket de router-sårbarheder, som det ellers skulle tage hånd om med en firmware-opdatering. 

Under overskriften What the Ridiculous Fuck, D-Link?! skriver sikkerhedsekspert Craig Heffner, at der stadig er huller i routerne.

Det er tilfældet, selvom der er udsendt patches til routerne DIR-645 og DIR-890L, der adresserer en række sårbarheder - eller i hvert fald skulle gøre det.

For Craig Heffner hævder, at tre konkrete såbarheder stadig eksisterer.

Det drejer sig om uautoriserede brugeres muligheder for command injection og stack overflow og risikoen for, at andre kan ændre dit admin password.

"Husk på, at D-Link har anerkendt alt det ovenstående i deres sikkerhes-orienteringer og derfor helt sikkert var klar over alle disse angrebs-vektorer," lyder det fra Craig Heffner.

Sikkerhedseksperten beskriver, hvordan D-Link ganske vist har fjernet noget af det kode, der udgjorde sårbarhederne, men samtidig har tilføjet ny kode andre steder, der blot betyder, at der stadig er problemer.

"Den er god nok, deres patch adresserer ikke engang alle de bugs, de listede i deres egen sikkerheds-orientering!"

D-Links mange sårbarheder

Taiwanske D-Link kæmper med en række sårbare routere i disse måneder, hvilket blandt andet betyder, at it-kriminelle potentielt kan få fuld kontrol over routeren. 

På grund af sårbarhederne vil kriminelle i princippet også kunne uploade filer til routerens filsystem eller pille ved DNS-opsætningen.

D-link meddelte dog i marts, at selskabet var klar til at lukke sårbarhederne i routerne D-Link DIR-820L/DIR-626L/DIR-636L/DIR-808L/DIR-810L/DIR-826L/DIR-830L/DIR-836L.

Dengang anbefalede router-producenten også, at man slår fjern-adgangen fra, og at man sikrer, at alle enheder på netværket kræver login.

Generelt problem med sikkerheden i routerne

D-Link er i øvrigt ikke ene om at stå bag sårbare routere. For nylig kom det frem, at adskillige trådløse routere fra Netgear indeholder en sårbarhed, der kan give it-kriminelle adgang til eksempelvis adgangskoder og netværksnøgler og oplysninger om routeren og dennes firmware.

Før jul afslørede sikkerhedsfirmaet Check Point sårbarheden Misfortune Cookie, der findes i omkring 12 millioner routere verden over.

Af Check Points liste over de sårbare routere kan man se, at der er tale om 200 forskellige routere fra en stribe producenter, heriblandt D-Link, Edimax, Huawei, TP-Link, ZTE og ZyXEL - også selvom der faktisk har eksisteret en patch siden 2005.
 

Læs også:

Alvorlig sårbarhed i routere lukkes: D-link på vej med ny firmware

Ny router-sårbarhed afsløret: D-Link-routere kan kidnappes af kriminelle

Alvorlig sårbarhed i routere kan åbne døren til dit netværk

Alvorlig sårbarhed lever videre i millioner af routere trods advarsler

Event: Årets CISO 2026

Sikkerhed | Kongens Lyngby

Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

22 oktober 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S

WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S

SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos