D-Link лишь частично исправила уязвимости в своих маршрутизаторах

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

16 июня 2020 года

Компания D-Link выпустила обновление прошивки, исправляющее три из шести уязвимостей, которые были обнаружены в беспроводном маршрутизаторе DIR-865L. Одна из неисправленных уязвимостей является критической, а две другие — опасными. Проблемы могут быть проэксплуатированы для выполнения произвольных команд, хищения конфиденциальной информации, загрузки вредоносных программ или удаления данных.

Модель D-Link DIR-865L была выпущена в 2012 году и больше не поддерживается для потребителей в США, но на официальных страницах для европейских стран указан статус модели “конец продаж”. Это означает, что продукт больше не может быть приобретен, но он все еще поддерживается поставщиком.

Эксперты подразделения Unit 42 компании Palo Alto Networks в конце февраля обнаружили ряд уязвимостей в D-Link DIR-865L и сообщили о них производителю:


CVE-2020-13782: некорректная нейтрализация специальных элементов, используемых в команде (внедрение команд). Проблема получила оценку в 9,8 балла по шкале CVSS (не исправлена).

CVE-2020-13786: Межсайтовая подмена запросов (Cross-Site Request Forgery, CSRF). Проблема получила оценку в 8,8 балла по шкале CVSS (исправлена).

CVE-2020-13785: Недостаточно надежное шифрование. Проблема получила оценку в 7,5 балла по шкале CVSS (исправлена).

CVE-2020-13784: Предсказуемое начальное число в генераторе псевдослучайных чисел. Проблема получила оценку в 7,5 балла по шкале CVSS (не исправлена).

CVE-2020-13783: Хранение конфиденциальной информации в открытом тексте. Проблема получила оценку в 7,5 балла по шкале CVSS (исправлена).

CVE-2020-13787: Передача конфиденциальной информации открытым текстом. Проблема получила оценку в 7,5 балла по шкале CVSS (не исправлена).


Как отметили специалисты, хотя уязвимость внедрения команд получила критическую оценку опасности от NVD, для ее использования требуется аутентификация. По словам одного из исследователей, объединение некоторых из этих уязвимостей может позволить злоумышленникам перехватывать сетевой трафик и красть cookie-файлы сессии.

Таким образом преступники могут получить доступ к административному порталу для обмена файлами, что дает им возможность загружать произвольные вредоносные файлы, скачивать конфиденциальные файлы или удалять важные данные. Они также могут использовать cookie-файл для запуска произвольных команд и осуществления DoS-атак.

D-Link отреагировала на уведомление экспертов выпуском бета-версии прошивки, в которой были исправлены только три уязвимости. Компания не прокомментировала свое решение выпустить частичные исправления.

Источники[править]

Эта статья содержит материалы из статьи «D-Link лишь частично исправила уязвимости в своих маршрутизаторах», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=D-Link_лишь_частично_исправила_уязвимости_в_своих_маршрутизаторах&oldid=4134927