«Респект ПО» — автоматизация вашего успеха, официальный партнер фирмы «1С», Краснодар
Новости компании

В маршрутизаторах D-Link обнаружены уязвимости
27/02/2015

 Бреши могут эксплуатироваться, если пользователь зайдет на специально созданную web-страницу с вредоносным ПО.

 
В маршрутизаторах D-Link обнаружены несколько уязвимостей, которые могут позволить злоумышленнику получить полный контроль над устройством. Об этом стало  известно  благодаря ИБ-эксперту Питеру Адкинсу (Peter Adkins). Адкинс заявил, что в маршрутизаторах D-Link DIR-820L с версиями прошивки 1.02B10, 1.05B03 и 2.01b02 были обнаружены уязвимости. Специалист также подозревает, что бреши затрагивают другие модели маршрутизаторов D-Link.
 
Наиболее серьезной уязвимостью является межсайтовая подделка запроса. Данная уязвимость может быть использована злоумышленником, если пользователь зайдет на специально созданную web-страницу с вредоносным ПО, которое создает HTML-форму с использованием Javascript.
 
HTML-форма получает доступ к сервису ncc/ncc2 маршрутизатора, который не отфильтровывает вредоносные команды. Сервис занимается обработкой динамических запросов, таких как обновление имен пользователей и паролей. В результате злоумышленник получает полный доступ к маршрутизатору и может выполнять такие действия, как запуск специального коммуникационного протокола telnet, или изменять настройки доменной системы имен маршрутизатора - осуществлять так называемую фарминг-атаку.
 
Многие маршрутизаторы имеют защитный механизм, который предназначен для блокировки межсайтовой подделки запроса. К сожалению, в устройствах D-Link данные механизмы отсутствуют.
 
Адкинс также обнаружил другие уязвимости в сервисе ncc/ncc2, которые могут принимать удаленные запросы без аутентификации. ИБ-эксперт выяснил, что может получить доступ к некоторым диагностическим функциям маршрутизатора через сервис ncc/ncc2. Также Адкинс сумел загрузить файлы в файловую систему устройства. Это стало возможно из-за ошибки в сервисе ncc/ncc2, которая позволяет загружать аппаратную прошивку с помощью запроса HTTP POST. ИБ-эксперт сообщил о необходимости устранения подобных брешей, иначе они могут привести к нежелательным последствиям для пользователей.
 

26 !!! ошибка при получении данных о теме id=19
Нужен специалист! Просто заполни заявку.