Размер текста:    Печать

Раскрыты подробности неисправленных уязвимостей в маршрутизаторах D-Link

12 сентября 2017, 15:01
Раскрыты подробности неисправленных уязвимостей в маршрутизаторах D-Link

Южнокорейский исследователь безопасности Пьер Ким (Pierre Kim) опубликовал подробные сведения о десяти уязвимостях, обнаруженных им в прошивке маршрутизаторов модели D-Link DIR-850L.

Исследователь опубликовал данные, не дожидаясь, пока D-Link примет меры по устранению уязвимостей. По словам исследователя, несмотря на несколько попыток выйти с компанией на связь и предупредить об ошибках в оборудовании в феврале 2017 года, D-Link игнорировала все его предупреждения.

Выявленные уязвимости могут эксплуатироваться как через внутренние (LAN), так и через внешние (WAN) подключения, и дают злоумышленникам возможность перехватывать трафик, загружать вредоносную прошивку и получать привилегии суперпользователя. Кроме того, исследователь обнаружил уязвимости в облачном сервисе MyDLink, который владельцы устройств используют для удаленного подключения к своим домашним маршрутизаторам.  

Одна из уязвимостей заключается в отсутствии надлежащей защиты и позволяет злоумышленнику загрузить новую прошивку на маршрутизатор. В версии А прошивки D-Link 860L защита отсутствует, в то время как версия B поставляется с неизменяемым паролем, который злоумышленники могут извлечь и получить доступ к устройству. Также атакующие могут получить пароль администратора, использовать его для привязки устройств к своим учетным записям в MyDLink и получить контроль над устройством. Протокол облака MyDLink работает через TCP-туннель, который не использует надлежащее шифрование, позволяя злоумышленнику получить доступ к коммуникациям между маршрутизатором пользователя и его учетной записью в MyDLink. Помимо вышеперечисленных уязвимостей, в прошивке содержатся неизменяемые закрытые ключи шифрования, которые злоумышленники могут извлечь и использовать для осуществления MitM-атак (атака "человек посередине").

По материалам: InternetUA
Добавить комментарий:
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введите верный ответ