D-Link исправила критическую уязвимость в фирменных роутерах

Обсудить

Специалисты по безопасности нашли уязвимость в целом семействе роутеров компании D-Link, которая позволяла злоумышленникам удаленно управлять сетью и передавать устройству команды с привилегиями суперпользователя.

Сначала критический сбой обнаружили только в программном обеспечении версии 3.17 для модели DSR-250. Позднее разработчики нашли аналогичную брешь в моделях D-Link DSR-150, 500 и 1000АС с ПО версии 3.17 и старше.

С помощью одной из уязвимостей злоумышленники могли без аутентификации получить доступ к интерфейсу Unified Services Router. После этого перед ними открывалась возможность выполнять в ПО маршрутизатора любые команды от лица root. Для взлома требовалось только послать роутеру специализированный запрос. После внедрения в устройство хакеры могли перехватывать трафик пользователей, подключившихся к взломанной точке доступа. Также они могли использовать уязвимость для атаки на подключенные ПК или для изменения передаваемого трафика. Еще одна ошибка позволяла получить аналогичный доступ к «железу» и программной части маршрутизатора, но только при физическом доступе к оборудованию – для внедрения вредоносного кода нужно было загрузить в роутер измененный конфигурационный файл.

D-Link признала одну из проблем и выпустила прошивку версии 3.17B401C, устраняющую критическую уязвимость. Более мелкие ошибки компания устранять отказалась, отметив, что не считает их опасными для своих клиентов.

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email, который Вы использовали для входа на сайт.