Trustwave specialister opdaget en række sårbarheder i D-Link og Comba Telecom routere. Bugs tillader udtræk af data fra internetudbydere og passwords adgang fra enheder uden godkendelse.
ENfter at undersøge D-Link DSL-2875AL router, fandt forskerne ud af, at det er påvirket af den samme problem at andre enheder fra producenten er sårbare over for: de giver adgang til alle routerindstillinger ved at anmode romfile.cfg fil. Godkendelse er ikke påkrævet for dette, og Wi-Fi Adgangskoden gemmes i tekstformat.”Efter et gyldigt login på administratoren web-panelet ikke skelner gyldige HTTP-anmodninger fra admin og dem, der kommer fra andre brugere. Denne måde, en hacker kan script en automatisk rutine, som udfører uønskede handlinger, såsom vilkårlige ændringer router og SSID'er adgangskoder og konfigurationer”, - rapporteret Trustwave forskere.
Derudover, Det D-Link DSL-2875AL og DSL-2877AL modeller var sårbare over for problemet med udlevering af data. Faktum er, at blot ved at studere HTML-koden på login-siden, du kan finde to linjer, der svarer til prøvelse af internetudbyderen.
D-Link blev informeret om disse fejl tilbage i januar i år, og i denne måned producenten forberedt patches til DSL-2875AL og DSL-2877AL modeller.
imidlertid, Der blev også fundet problemer med fjernadgang og videregivelse adgangskode i produkterne af producenten Comba Telecom: sårbarheder blev fundet i Wi-Fi-controllere AC2400, samt adgangspunkter AP2600-I-A02 og AP2600. Det er vigtigt at bemærke, at disse produkter ikke er beregnet til private brugere, men i de tilfælde, hvor det er nødvendigt at udvide dækningsområde Wi-Fi og tjene et stort antal brugere.
Offentliggørelsen af fortrolige data i disse tilfælde er det også muligt uden godkendelse: ved at sende en særlig anmodning og downloade konfigurationsfilen, samt visning kilde HTML-kode af administrationen konsol. Afhængig af den sårbarhed anvendte, angribere kan være nødvendigt at knække adgangskoder i MD5, men ikke præsenterer det ikke væsentligt problem.
Læs også: Gratis Windows Rat Trojan NanoCore maj Årsag Outbreak
Modsætning D-Link, Comba Telecom repræsentanter reagerede ikke på anmodninger fra Trustwave eksperter, selvom forskere har forsøgt at kontakte selskabet siden februar 2019. I øjeblikket, Der er stadig ingen patches til problematiske enheder.
