Spiderlabs компании Trustwave обнаружила уязвимости утечка учетных данных Д-Линк роутеров беспроводной маршрутизатор ADSL2+ модем, которые “широко распространены в Австралии”.

Исследователь Симон Кенин обнаружили, что прекращаемой Д-Линк ДСЛ-2875AL беспроводной маршрутизатор ADSL2+ модем паролей утечки через его web-интерфейс управления.

Кто-нибудь с локальной сети доступа может просто использовать веб-браузер, чтобы смотреть файл с настройками.файл cfg, хранящиеся на маршрутизаторе, без каких-либо проверки подлинности. Файл содержит пароль на устройстве в незашифрованном виде.

Аналогично, гнездо DSL-2875AL утечки учетных данных Пользователя с помощью гипертекстовой разметки исходного языка на странице входа в систему маршрутизатора.

Поиск username_v и переменные password_v в индексе.ASP-страницу, злоумышленник в локальной сети могут получить регистрационные данные для интернет-провайдер счетов абонентов.

Компании Trustwave – который принадлежит к iTunes – говорит уязвимости серьезно, поскольку они позволяют злоумышленникам получить контроль маршрутизаторы, над которой все пользовательские данные ездит в их интернет-провайдеров.

Поставщик безопасности сообщили о уязвимостям в Д-Линк, но сказал, что ответ на маршрутизатор поставщика был “запутанной и, к сожалению, очень типично для организаций, не принимаем проблемы безопасности [доклады] из исследователей третьему лицу”.

Д-Линк был предоставлен 90-дневный срок, до публикации уязвимости ПО компании Trustwave, в рамках ответственной политики в области раскрытия информации компании, и изначально сказал, что будет обостряться вопрос с ее исследования и развития группы.

Компании Trustwave продлил срок после того, как Д-Линк сказал, что это не может перерасти в проблему, и в итоге перестал отвечать на компании Trustwave в целом.

В преддверии публикации уязвимостей, Д-Линк компании Trustwave сообщили, что он выпустил заплатки для огрехов.

“Хотя это всегда приятно слышать, что уязвимости были исправлены (это наша цель) иногда берет рычаги полного раскрытия, чтобы заставить организаций засекретить, чтобы делать в одну неделю, что девять месяцев добросовестно охват не может,” компании Trustwave по Кенин сказал.

Новая прошивка доступна для ДСЛ-2875AL и ДСЛ-2877AL но Д-Линк до сих пор не опубликованные подробности о том, как он зафиксировал уязвимости.

Прошивка вместе с другими обновлениями можно попасть из Д-Линк поддержку сайта с помощью текстового протокола HTTP веб-страницы, а не безопасному зашифрованному протоколу HTTPS.

Д-Линк был обратиться за комментарием по этому вопросу.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here