vk_logo twitter_logo facebook_logo youtube_logo telegram_logo telegram_logo

Исследователь «наказал» D-Link, обнародовав данные об уязвимости роутеров

Дата публикации: 22.10.2018
Количество просмотров: 1213
Автор:

Исследователь Силезского технологического университета в Польше, Блажей Адамчик, обнародовал отчет о найденных им уязвимостях в маршрутизаторах D-link. Он обнаружил три вида лазеек для хакеров в восьми моделях устройств: DWR-111, DWR-116, DWR-140, DWR-512, DWR-640, DWR-712, DWR-912 и DWR-921.

Итогами своих изысканий специалист поделился с производителем роутеров – последние обещали выпустить исправления для двух моделей DWR-116 и DWR-111, так как остальные устарели и не поддерживаются. Однако патчи не вышли в оговоренный срок (до октября), поэтому Адамчик опубликовал свой отчет в сети – о таком развитии событий он предупреждал компанию в случае, если та не исправит уязвимости.

Первая уязвимость – CVE-2018-10822, относится к типу directory-traversal. Она позволяет злоумышленникам получить доступ к личной информации, в том числе файлам с паролями, и читать произвольные файлы через /.. или //, отправив GET /uir в HTTP-запросе.

Вторая уязвимость - CVE-2018-10824, связана с хранением паролей в открытом виде. Благодаря ей, хакер получает доступ к файлу конфигурации, содержащему имя пользователя и пароль администратора.

Третья уязвимость – CVE-2018-10823, позволяет получить полный контроль над роутером. Для этого злоумышленнику нужно пройти процедуру аутентификации (использовав первые две уязвимости) и ввести shell-команду в параметр Sip страницы chkisg.htm

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/102357/issledovatel-nakazal-d-link-obnarodovav-dannyie-ob-uyazvimosti-routerov.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться