Следующая новость
Предыдущая новость

Некоторые роутеры D-Link и Comba раскрывают учетные данные в формате простого текста

12.09.2019 0:42
Некоторые роутеры D-Link и Comba раскрывают учетные данные в формате простого текста

Рекомендуем почитать:

Xakep #245. Нейросети

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании Trustwave обнаружили ряд уязвимостей в сетевом оборудовании производства D-Link и Comba Telecom. Баги позволяют без аутентификации извлечь с устройств данные интернет-провайдеров и пароли доступа.

Изучив роутер D-Link DSL-2875AL, исследователи выяснили, что на него влияет та же проблема, перед которой уязвимы другие устройства производителя: получить доступ ко всем настройкам роутера можно запросив файл romfile.cfg. Аутентификация для этого не требуется, а пароль от Wi-Fi хранится в открытом виде.

Также модели D-Link DSL-2875AL и DSL-2877AL оказались уязвимы перед проблемой раскрытия данных. Дело в том, что просто изучив HTML-код страницы логина, можно обнаружить две строки, соответствующие учетным данным интернет-провайдера.

Некоторые роутеры D-Link и Comba раскрывают учетные данные в формате простого текста

Компанию D-Link проинформировали об этих багах еще в январе текущего года, и в этом месяце производитель подготовил патчи для моделей DSL-2875AL и DSL-2877AL.

Но проблемы с удаленным доступом и раскрытием паролей также обнаружились и в продуктах производителя Comba Telecom: уязвимости были найдены в Wi-Fi контроллерах AC2400, а также точках доступа AP2600-I-A02 и AP2600. Важно заметить, что эти продукты предназначены не для домашних пользователей, а для случаев, когда необходимо расширить зону покрытия Wi-Fi и обслуживать большое количество пользователей.

Раскрытие конфиденциальных данных в этих случаях тоже возможно без аутентификации: посредством отправки специального и загрузки файла конфигурации, а также просмотра исходного HTML-кода консоли администрирования. В зависимости от используемой уязвимости злоумышленникам может понадобиться взломать пароль MD5, но в наши дни это совсем нетрудно.

В отличие от D-Link, представители Comba Telecom так и не отреагировали на запросы экспертов Trustwave, хотя исследователи пытались связаться с компанией с февраля 2019 года. На текущий момент патчей для проблемных девайсов до сих пор нет.

Источник

Последние новости