События

Раскрыты подробности неисправленных уязвимостей в маршрутизаторах D-Link

Южнокорейский исследователь безопасности Пьер Ким (Pierre Kim) опубликовал подробные сведения о десяти уязвимостях, обнаруженных им в прошивке маршрутизаторов модели D-Link DIR-850L.

Исследователь опубликовал данные, не дожидаясь, пока D-Link примет меры по устранению уязвимостей. По словам исследователя, несмотря на несколько попыток выйти с компанией на связь и предупредить об ошибках в оборудовании в феврале 2017 года, D-Link игнорировала все его предупреждения.

Выявленные уязвимости могут эксплуатироваться как через внутренние (LAN), так и через внешние (WAN) подключения, и дают злоумышленникам возможность перехватывать трафик, загружать вредоносную прошивку и получать привилегии суперпользователя. Кроме того, исследователь обнаружил уязвимости в облачном сервисе MyDLink, который владельцы устройств используют для удаленного подключения к своим домашним маршрутизаторам.

Одна из уязвимостей заключается в отсутствии надлежащей защиты и позволяет злоумышленнику загрузить новую прошивку на маршрутизатор. В версии А прошивки D-Link 860L защита отсутствует, в то время как версия B поставляется с неизменяемым паролем, который злоумышленники могут извлечь и получить доступ к устройству. Также атакующие могут получить пароль администратора, использовать его для привязки устройств к своим учетным записям в MyDLink и получить контроль над устройством. Протокол облака MyDLink работает через TCP-туннель, который не использует надлежащее шифрование, позволяя злоумышленнику получить доступ к коммуникациям между маршрутизатором пользователя и его учетной записью в MyDLink. Помимо вышеперечисленных уязвимостей, в прошивке содержатся неизменяемые закрытые ключи шифрования, которые злоумышленники могут извлечь и использовать для осуществления MitM-атак (атака "человек посередине").

С полным списком уязвимостей и подробным анализом каждой из них можно ознакомиться в блоге исследователя.

Источник

Автор: Сергей Куприянов
11.09.2017 (21:09)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.