Эксплуатация бреши, позволяющей скомпрометировать целевую систему, не требует авторизации. Изыскатель информационной безопасности Майкл Месснер (Michael Messner) нашел критическую уязвимость в беспроводных маршрутизаторах компании D-Link (модели DIR-600 и DIR). Эксплуатация данных брешей позволяет удаленному пользователю скомпрометировать целевую систему.
Опасения эксперта вызывает тот факт, что для успешной эксплуатации уязвимости потенциальному злоумышленнику не нужно проходить процесс аутентификации.
Как выяснил Месснер, уязвимость существует из-за отсутствия ограничений доступа, а также проверки входных данных в параметре cmd в заводской прошивке (версии 2.14b01 и более ранние).
На момент публикации новости разработчики D-Link еще не выпустили исправления безопасности. В то же время, случаев эксплуатации уязвимостей вредоносным ПО зафиксировано не было.
Стоит напомнить, что недавно изыскатели из компании Rapid7 нашли уязвимость в сетевом стандарте Universal Plug and Play (UPnP), используемом маршрутизаторами и другим сетевым оборудованием. По их словам, в число уязвимых продуктов вошли порядка 40-50 миллионов устройств, в том числе компании D-Link.
Нет комментарий