24 October 2017

В роутерах Linksys нашли пять разных уязвимостей

Исследователи из компании SEC Consult рекомендуют временно ограничить доступ к данным устройствам или вовсе прекратить их использование.

Специалисты из компании SEC Consult обнаружили уязвимости в нескольких моделях серии «E» ещё в июле 2017 года, после чего попытались связаться с производителем. Компания ответила специалистам лишь в сентябре 2017 года, заявив, что исправления для некоторых багов уже в работе, после чего связь вновь прервалась. Они могут быть подвержены атакам CSRF и XSS из-за небезопасного программирования и управления соединением. Более того, вставка HTTP-заголовка позволяет злоумышленнику перенаправлять пользователя на вредоносный веб-сайт.

Согласно отчёту исследователей из SEC Consult, различные уязвимости содержат устройства Linksys E900, E1200 и E8400 AC2400, и это было официально подтверждено производителем. Кроме того, согласно проведенным исследователями тестам, баги присутствуют b в роутерах E2500, E900-ME, E1500, E3200, E4300 и WRT54G2.

Специалистами было обнаружено пять различных уязвимостей: CSRF- и XSS-уязвимости; баг, позволяющий спровоцировать отказ в обслуживании (DoS); возможность осуществлять инъекции в HTTP-хедеры, а также проблема некорректного способа обработки данных сессий.

С помощью различных сочетаний атак на эти бреши злоумышленники могут спровоцировать перманентное DoS-состояние, переадресовать пользователя на вредоносный сайт, изменить настройки уязвимого устройства, а также выполнить вредоносный код в контексте браузерной сессии.

Из-за того, что инженеры Linksys не торопятся выпускать патчи, SEC Consult советует временно ограничить доступ к устройствам или вовсе прекратить их использование.

Читайте также:

Wi-Fi-роутеры TP-Link лишаются возможности установки альтернативных прошивок
?
Для борьбы с хакерами IBM хочет зашифровать весь мир
?
Qrator Labs предупредил клиентов о неустраняемой дыре в «Ревизоре»
?
Человеческая ДНК как опасный для компьютеров код

.
roskomsvoboda android

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.