Security Week 26: уязвимости в роутерах D-Link и Netgear

Сразу два исследования прошлой недели посвящены уязвимостям в роутерах и затрагивают как минимум одну модель D-Link, а также 79 домашних устройств Netgear. Начнем с D-Link: проблему нашли в модели DIR-865L (новость, исследование, бюллетень производителя). Всего обнаружилось шесть уязвимостей, которые по отдельности или в определенной комбинации позволяют перехватить контроль над устройством. Все дыры требуют присутствия в локальной сети. Например, в веб-интерфейсе для обмена файлами учетные данные передаются открытым текстом — их можно перехватить и, после модификации user id, использовать для доступа к запароленным документам. Похожим образом можно пробраться в основные настройки роутера, проэксплуатировав уязвимость в веб-сервере либо перехватив генерируемые слабым алгоритмом «уникальные» куки настоящего владельца. Для атаки потребуется еще один шаг, но достаточно простой: убедить пользователя кликнуть на специальную ссылку в браузере. Читать дальше →

Источник: Хабрахабр