Компания Advanced Digital Broadcast (ADB) выпустила обновления прошивки для своих модемов и маршрутизаторов, устраняющих ряд серьезных уязвимостей, обнаруженных экспертами SEC Consult Vulnerability Lab почти два года назад.
Проблемам подвержен широкий ряд версий прошивок, в том числе ADB P.RG AV4202N — E_3.3.0, ADB DV 2210 — E_5.3.0, ADB VV 5522 — E_8.3.0 и ADB VV 2220 — E_9.0.6., а также все модемы, шлюзы и маршрутизаторы, работающие на базе платформы Epicentro с поддержкой USB и функцией обмена файлами по сети.
В общей сложности исследователи выявили три уязвимости. Первая (CVE-2018-13108) предоставляет доступ к корневой файловой системе, позволяя изменять системные файлы, повышать привилегии ГИП (графический интерфейс пользователя), внедрять бэкдоры и снифферы (анализаторы трафика), а также получить доступ ко всем хранимым учетным данным, включая закрытые ключи SSL-сертификатов.
CVE-2018-13110 представляет собой уязвимость повышения привилегий, с помощью которой атакующий может не только поднять права, но и получить доступ к важным конфигурационным данным и настройкам. Последняя уязвимость (CVE-2018-13109) позволяет обойти механизм авторизации.
Исследователи проинформировали ADB о проблемах еще в июне 2015 года, однако производитель приступил к поэтапному выпуску патчей только в июле 2017 года. Широкой общественности информация об уязвимостях стала доступна только сейчас.

Источник: securitylab.ru