События

В беспроводных видеомостах Linksys обнаружена критическая уязвимость

В беспроводных видеомостах Linksys обнаружена критическая уязвимость

В беспроводных видеомостах Linksys WVBR0-25 обнаружена критическая уязвимость, позволяющая злоумышленнику удаленно выполнить код на уязвимых устройствах, сообщил эксперт по безопасности из команды Zero-Day Initiative Рики Лоушей (Ricky Lawshae).

Уязвимость CVE-2017-17411 была обнаружена в устройстве Linksys WVBR0-25, предназначенном для сопряжения с ТВ-ресивером Wireless Genie Mini (C41W), обеспечивающим связь с сервисом DirecTV Genie DVR. Для обнаружения уязвимости исследователю понадобилось всего 30 секунд.

По словам исследователя, проблема заключается в отсутствии правильной проверки пользовательских данных перед выполнением системного вызова. Злоумышленник может проэксплуатировать данную уязвимость для выполнения произвольного кода с правами суперпользователя.

При попытке подключения к web-серверу на устройстве исследователь обнаружил, что вместо страницы авторизации или индексной страницы устройство предоставляет «результат нескольких диагностических скриптов, содержащих важную информацию, в том числе PIN-код WPS, список подключенных клиентов, запущенные процессы и многое другое».

Помимо этого, IP-адрес и user-agent пользователя используются в системной команде в качестве формы авторизации. Исследователю удалось изменить user-agent и отправить команду, которая выполнялась с правами суперпользователя. Поскольку процесс lighttpd работает с привилегиями суперпользователя, то исполняемые команды также запускаются с данными правами, даже если они поступают из ненадежного источника, пояснил эксперт.

Лоушей уведомил Linksys об уязвимости в июне текущего года, однако компания никак не отреагировала на предупреждение.

Исследователь продемонстрировал эксплуатацию уязвимости

Источник

Автор: Сергей Куприянов
15.12.2017 (11:38)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.