События

В маршрутизаторах Humax HG-100R обнаружены уязвимости

В маршрутизаторах Humax HG-100R обнаружены уязвимости

Эксперты компании Trustwave SpiderLabs обнаружили в маршрутизаторах Humax HG-100R уязвимость, позволяющую получить учетные данные для авторизации в сети Wi-Fi и пароль администратора устройства.

Проэксплуатировать уязвимость очень просто. Для того чтобы обойти механизм аутентификации, злоумышленнику достаточно лишь отправить на консоль управления специально сконфигурированные запросы. Проблема связана с отсутствием проверки токена сеанса при отправке ответа для некоторых методов в url/api. Проэксплуатировав уязвимость, злоумышленник может получить такую информацию, как частный/общественный IP-адрес, название сети (SSID) и пароли.

Вторая уязвимость в Humax HG-100R позволяет обойти механизм аутентификации и получить доступ к функции резервного копирования. Данная функция используется для сохранения и сброса настроек конфигурации. Поскольку прошивка не проверяет подлинность cookie-файлов login и login_token, атакующий способен загрузить и выгрузить все конфигурационные настройки маршрутизатора. К примеру, злоумышленник может изменить настройки DNS для перехвата трафика пользователей.

Исследователи также обнаружили, что пароль администратора хранится в файле GatewaySettings.bin в незашифрованном виде. Если в маршрутизаторе предусмотрено удаленное изменение конфигурационных настроек, злоумышленник может с легкостью получить доступ к панели управления и изменить настройки по своему усмотрению. Даже если такая возможность не предусмотрена, злоумышленник все равно может проэксплуатировать уязвимость в местах с общественными сетями Wi-Fi (например, в кафе или аэропортах).

Источник

Автор: Сергей Куприянов
10.07.2017 (11:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.