Goodnews.ua


В маршрутизаторах Humax HG-100R обнаружены уязвимости

Июль 10
18:36 2017

В маршрутизаторах Humax HG-100R обнаружены уязвимости

Эксперты компании Trustwave SpiderLabs обнаружили в маршрутизаторах Humax HG-100R уязвимость, позволяющую получить учетные данные для авторизации в сети Wi-Fi и пароль администратора устройства.
Проэксплуатировать уязвимость очень просто. Для того чтобы обойти механизм аутентификации, злоумышленнику достаточно лишь отправить на консоль управления специально сконфигурированные запросы. Проблема связана с отсутствием проверки токена сеанса при отправке ответа для некоторых методов в url/api. Проэксплуатировав уязвимость, злоумышленник может получить такую информацию, как частный/общественный IP-адрес, название сети (SSID) и пароли.
Вторая уязвимость в Humax HG-100R позволяет обойти механизм аутентификации и получить доступ к функции резервного копирования. Данная функция используется для сохранения и сброса настроек конфигурации. Поскольку прошивка не проверяет подлинность cookie-файлов login и login_token, атакующий способен загрузить и выгрузить все конфигурационные настройки маршрутизатора. К примеру, злоумышленник может изменить настройки DNS для перехвата трафика пользователей.
Исследователи также обнаружили, что пароль администратора хранится в файле GatewaySettings.bin в незашифрованном виде. Если в маршрутизаторе предусмотрено удаленное изменение конфигурационных настроек, злоумышленник может с легкостью получить доступ к панели управления и изменить настройки по своему усмотрению. Даже если такая возможность не предусмотрена, злоумышленник все равно может проэксплуатировать уязвимость в местах с общественными сетями Wi-Fi (например, в кафе или аэропортах).

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Тайсон — о пощечине Полу: Пусть это будет уроком, бесталанный ютубер

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua