Kwetsbaarheden in populaire consumenten en bedrijven routers zijn verdubbeld sinds 2011
Een nieuwe onderzoek toont kwetsbaarheid tarieven zijn niet te verminderen in ons aangesloten apparaten — verre van dat.
Onderzoekers hebben openbaar gemaakt op het bestaan van een ernstige tot uitvoering van externe code kwetsbaarheid in een bereik van de D-Link routers.
Vorige week, Fortinet ‘ s FortiGuard Labs zei de kwetsbaarheid in het hart van het probleem, gevolgd CVE-2019-16920, werd ontdekt in September 2019.
Volgens de Fortinet onderzoeker Thanh Nguyen Nguyen, de niet-geverifieerde command-injectie kwetsbaarheid effecten D-Link firmware voor de DIR-655, DIR-866L, DIR-652, en DHP-1565 product lijnen.
De kwetsbaarheid is beschreven als een RCE gevraagd door aanvallers het verzenden van willekeurige input voor een “PingTest” gateway interface, wat leidt tot opdracht injectie en volledige systeem te compromitteren. De kritieke bug is afgegeven een CVSS v3.1 base score van 9,8 en een CVSS v2.0 base score van 10.0.
Zie ook: de D-Link ondergaan security audits voor 10 jaar als onderdeel van het FTC schikking
Om het activeren van het lek, Fortinet, zegt aanvallers kunnen uitvoeren van een handeling login op afstand, dat is slecht geverifieerd.
De slechte verificatie in staat code uit te voeren of een gebruiker heeft het voorrecht om dit te doen, voor een POST HTTP-Aanvraag via PingTest te worden verzonden, en voor aanvallers om te spring administrator-wachtwoord of het installeren van een backdoor.
De beveiliging onderzoekers bekendgemaakt van hun bevindingen aan de D-Link op 22 September. Binnen 24 uur de leverancier van de hardware bevestigd had de kwetsbaarheid, en drie dagen later, D-Link, zei dat als de producten bij Einde Levensduur (EOL) te ondersteunen, is geen patch uitgebracht zal worden.
CNET: Hernieuwde oproepen voor de achterdeur toegang tot de codering hebben allemaal dezelfde fouten
Gezien de leeftijd van deze routers is het niet verwonderlijk dat de D-Link heeft ervoor gekozen om geen probleem een oplossing. Onze apparaten, — en hun firmware-alles heeft een houdbaarheidsdatum en uiteindelijk steun einde, en dus ook voor de gebruikers van deze routers moeten overwegen ter vervanging van hun aging producten te beperken het risico van een te benutten.
Echter, niet elke security-gerelateerde besluit van de D-Link heeft ooit gemaakt is, kan het noodzakelijk worden beschouwd als redelijk.
TechRepublic: het aanmaken en exporteren van een GPG sleutelpaar op macOS
In gerelateerd nieuws, de D-Link heeft onlangs ingestemd met een schikking met de AMERIKAANSE Federal Trade Commission (FTC) te leggen om te rusten beschuldigingen van het niet aanpakken van de kwetsbaarheid van rapporten en een verkeerde voorstelling te geven van de veiligheid van haar producten.
Als onderdeel van de overeenkomst, zal de verkoper het maken van een nieuw programma voor de beveiliging voor routers en Internet zijn aangesloten, de producten, en zal ook dienen om security audits voor de komende tien jaar.
ZDNet heeft bereikt uit de D-Link voor commentaar en zal een update als we horen terug.
Vorige en aanverwante dekking
Deze zwakke plekken in de software top MITRE de meest gevaarlijke lijst
WhatsApp kwetsbaarheid misbruikt door kwaadwillende Gif ‘ s te kapen chat-sessies
Populaire consumenten en bedrijven routers, IoT apparaten bevatten ras kwetsbaarheden
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters