Goodnews.ua


Раскрыты подробности неисправленных уязвимостей в маршрутизаторах D-Link

Сентябрь 12
14:44 2017

Раскрыты подробности неисправленных уязвимостей в маршрутизаторах D-Link

Южнокорейский исследователь безопасности Пьер Ким (Pierre Kim) опубликовал подробные сведения о десяти уязвимостях, обнаруженных им в прошивке маршрутизаторов модели D-Link DIR-850L.
Исследователь опубликовал данные, не дожидаясь, пока D-Link примет меры по устранению уязвимостей. По словам исследователя, несмотря на несколько попыток выйти с компанией на связь и предупредить об ошибках в оборудовании в феврале 2017 года, D-Link игнорировала все его предупреждения.
Выявленные уязвимости могут эксплуатироваться как через внутренние (LAN), так и через внешние (WAN) подключения, и дают злоумышленникам возможность перехватывать трафик, загружать вредоносную прошивку и получать привилегии суперпользователя. Кроме того, исследователь обнаружил уязвимости в облачном сервисе MyDLink, который владельцы устройств используют для удаленного подключения к своим домашним маршрутизаторам.
Одна из уязвимостей заключается в отсутствии надлежащей защиты и позволяет злоумышленнику загрузить новую прошивку на маршрутизатор. В версии А прошивки D-Link 860L защита отсутствует, в то время как версия B поставляется с неизменяемым паролем, который злоумышленники могут извлечь и получить доступ к устройству. Также атакующие могут получить пароль администратора, использовать его для привязки устройств к своим учетным записям в MyDLink и получить контроль над устройством. Протокол облака MyDLink работает через TCP-туннель, который не использует надлежащее шифрование, позволяя злоумышленнику получить доступ к коммуникациям между маршрутизатором пользователя и его учетной записью в MyDLink. Помимо вышеперечисленных уязвимостей, в прошивке содержатся неизменяемые закрытые ключи шифрования, которые злоумышленники могут извлечь и использовать для осуществления MitM-атак (атака "человек посередине").

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Челси с результативной ошибкой Санчеса, но без особых проблем обыграл Веулверхэмптон

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua