vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

В прошивке роутеров D-Link DIR-620 обнаружили опасные уязвимости 68

Дата публикации: 28.05.2018
Количество просмотров: 3277
Автор:

Исследователи "Лаборатории Касперского" обнаружили несколько уязвимостей в прошивке роутеров D-Link DIR-620. Проблема заключается в том, что данная прошивка широко распространена, поскольку некий крупный российский интернет-провайдер предоставляет эти устройства своим абонентам. При этом домашние роутеры находятся за NAT провайдера и не попадают в статистику.

"В последних версиях прошивки были обнаружены прописанные по умолчанию учетные данные (CVE-2018-6213), эксплуатация которых позволяет злоумышленнику без авторизации получить привилегированный доступ к прошивке и извлечь из нее чувствительную информацию, например, файлы конфигурации с паролями в открытом виде. Уязвимый веб-интерфейс позволяет злоумышленнику без авторизации выполнить произвольный код JavaScript в пользовательском браузере и произвольные команды в операционной системе проблемного маршрутизатора", – отмечают эксперты лаборатории.

Проблемы были обнаружены еще в прошивке версии 1.0.37, но некоторые из проблем всплывали и в остальных версиях прошивок:

  • 1.3.1;
  • 1.3.3;
  • 1.4.0;
  • 2.0.22.

"Я скачал прошивку и извлек файловую систему. Большинство прошивок на базе Linux чаще всего содержат BusyBox – программный продукт, содержащий урезанные Unix-утилиты для встраиваемых систем. Зная, какие утилиты входят в этот набор по умолчанию, достаточно легко распознать проприетарные исполняемые файлы, которые не входят в оригинальный набор инструментов BusyBox и в которые, вероятно, были внесены изменения с учетом нужд провайдера.

Я извлек строки из исполняемого файла веб-сервера (httpd), и тут же мне в глаза бросилась строка "anonymous". Я посмотрел функцию, в которой используется эта строка", - рассказал специалист "Лаборатории Касперского".

Администратор не может изменить эти данные привилегированной "учетки". Внедрение же команд ОС (CVE-2018-6211) возможно из-за некорректной обработки следующего параметра при пользовательском вводе (уязвимость обнаружена в прошивке версии 1.0.3):

/index.cgi?<…>&res_buf

Но в роутерах нашли и еще пару неприятных багов. Проблема с идентификатором CVE-2018-6210 представляет собой заданные по умолчанию учетные данные для Telnet. С помощью некоторых команд злоумышленник может извлечь учетные данные и получить административный доступ к маршрутизатору.

Кроме этого, эксперты обнаружили уязвимость проверки пользовательских данных (отраженные XSS). В интерфейсе администратора есть поле ввода Quick search ("Быстрый поиск"). Это поле позволяет реализовать атаку межсайтового скриптинга (XSS), которая становится возможной в результате отсутствия фильтрации специальных символов в пользовательском вводе, а также некорректной обработки объекта XMLHttpRequest. Эта проблема была обнаружена в прошивке версии 1.3.3, но также присутствует и в других версиях.

Представители D-Link в ответ на запрос исследователей заявили, что данная модель производителем больше не поддерживается, поэтому обновлений с исправлением уязвимостей ждать не стоит.

Специалисты "Лаборатории Касперского" рекомендуют пользователям уязвимых роутеров предпринять следующие действия:

  • ограничить доступ к веб-панели, используя белый список доверенных IP-адресов;
  • запретить доступ к Telnet;
  • регулярно менять логин и пароль администратора к сервисам маршрутизатора.
От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/101405/v-proshivke-routerov-d-link-dir-620-obnarujili-opasnyie-uyazvimosti.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться