RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети



Бреши в маршрутизаторах D-Link DIR-600 и DIR-300

Специалист по безопасности Майкл Месснер (Michael Messner) так и не дождался от компании D-Link закрытия нескольких критических уязвимостей, о которых он сообщил им в декабре 2012 года. Компания заявила, что не собирается их закрывать, поэтому Майкл опубликовал всю информацию в открытом доступе. Дыры действительно серьёзные — они позволяют любому желающему получить доступ к маршрутизатору в удалённом режиме, через интернет, затратив минимум усилий.

Оказывается, в маршрутизаторах D-Link DIR-600 и DIR-300 отсутствуют ограничения на доступ и необходимая валидация параметров команды cmd. В результате, даже неавторизованный пользователь может отправить к маршрутизатору POST-запрос, запустить сервер telnetd и выполнить произвольные команды в шелле.

Ситуация усугубляется наличием других брешей. Например, можно установить новый пароль администратора, не зная предыдущий пароль. Пароли хранятся в открытом текстовом виде, без хэширования. Майкл Месснер упоминает, что российская компания Positive Technologies предупреждала об этой уязвимости в 2011 году, компания D-Link устранила её, но в последних версиях прошивки всё вернулось к старому.

dlink1

dlink2

 

Видео атаки на D-Link DIR-600

 

 

http://www.xakep.ru

Оставьте свой отзыв:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Подписаться

vk

 Telegram  информационные технологии в telegram

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы