होसियार! विज्ञहरूले लिंक्सिस स्मार्ट वाइफाइ राउटरहरूमा कम्तिमा पनि १० फ्लोरहरू फेला पार्दछन्

Linkys स्मार्ट वाइफाइ राउटरको २० भन्दा बढी मोडेलहरू आक्रमणको जोखिममा भेटिएको छ कि उनीहरूको कन्फिगरेसनबाट सम्भावित संवेदनशील जानकारी प्राप्त गर्न सक्दछ, वैध प्रयोगकर्ता पहुँच अस्वीकार गर्न सक्दछ, प्रतिबन्धित सेटिंग्स परिवर्तन गर्दछ, तिनीहरूलाई अनुत्तरदायी बनाउँदछ र पूरै लिन्छ पनि।

मा अन्वेषकहरु IOAactive लिंक्सिस राउटरमा कम्तिमा १० अनपेचेड सुरक्षा त्रुटिहरूको अस्तित्वको खुलासा गरेको छ, जुन २ different वटा विभिन्न लिys्किस स्मार्ट वाइफाइ राउटर मोडलहरू व्यापक रूपमा प्रयोग भइरहेका छन्।

आइओएक्टिभका वरिष्ठ सुरक्षा सल्लाहकार ताओ सौभाज र स्वतन्त्र अनुसन्धानकर्ता एन्टिडे पेटिटले गत बर्ष फेला परेका यी बगहरूको अस्तित्व खुलासा गर्दै एक ब्लग पोस्ट प्रकाशित गरे।

आईओएक्टिभले कुनै खास जानकारी खुलासा गर्ने छैन जबसम्म लिंक्सिसले फर्मवेयर अपडेटहरू जारी गर्दैन र प्रयोगकर्ताहरूले उनीहरूका उपकरणहरू प्याच गर्ने मौका पाउँदैनन्। यद्यपि विज्ञहरूले उनीहरूको नतिजाको एक सिंहावलोकन प्रदान गरेका छन्, र साथसाथै पहिचान गरिएका जोखिमहरूको समग्र प्रभावको मूल्या to्कन गर्न कुञ्जी मेट्रिक्स।

सुरक्षा असुरक्षा

ब्लग पोष्टका अनुसार अनुसन्धानकर्ताहरूले कम्तिमा १० देखि उच्च जोखिम सम्बन्धी मुद्दाहरु सम्मका जम्मा १० सुरक्षा असुरक्षाहरू पहिचान गरे, जसमध्ये of वटा अप्रमाणित आक्रमणकारीहरूले टाढाबाट शोषण गर्न सक्दछन्। जब शोषण हुन्छ, सुरक्षा कमजोरीहरूले आक्रमणकर्ताहरूलाई ओभरलोड राउटरहरूलाई अनुमति दिन्छ र रिबूटहरूलाई बलपूर्वक रिबूटहरू प्रदान गर्दछ सेवा (अस्वीकार) सर्तहरू सिर्जना गरेर, वैध प्रयोगकर्ताहरूमा पहुँच अस्वीकार गर्दछ।

"हामीले चिनेका दुईवटा सुरक्षा मुद्दाहरुले अप्रमाणित हमलावरहरूलाई राउटरमा डेनियल-अफ-सर्विस (DoS) सर्त सिर्जना गर्न अनुमति दिन्छ। केहि अनुरोधहरू पठाउँदै वा एक विशिष्ट एपीआईको दुरुपयोग गरेर, राउटर अनुत्तरदायी हुन्छ र रिबुट पनि हुन्छ। व्यवस्थापकले त्यसपछि वेब प्रशासक ईन्टरफेस पहुँच गर्न असमर्थ छ र प्रयोगकर्ताले जडान गर्न असक्षम गर्दछ जबसम्म हमलाकर्ताले डोस आक्रमण बन्द नगरेसम्म। "

आईओएक्टिभले यो चेतावनी पनि दियो कि आक्रमणकारीहरूले राउटरको बारेमा प्राविधिक र संवेदनशील जानकारी स collect्कलन गर्न CGI स्क्रिप्टलाई बाइपास गर्न पनि सम्भव छ, जस्तै फर्मवेयर संस्करणहरू, लिनक्स कर्नेल संस्करणहरू, चालु प्रक्रियाहरूको सूची, जडान गरिएको USB उपकरणहरूको सूची, वा WPS पिन वाइफाइ जडानको लागि, साथै प्रतिबन्धित सेटि manहरू हेरफेर गर्नुहोस्।

थप रूपमा, प्रमाणित हमलावरहरूले रूटरको ओएसमा रूट सुविधाहरूको साथ आदेशहरू इन्जेक्ट गर्न र कार्यान्वयन गर्न सक्दछन्। यसले उनीहरूलाई ब्याकडोर खाताहरू सिर्जना गर्न अनुमति दिन्छ जुन वैध प्रशासकहरूलाई दृश्यात्मक छैन।

यद्यपि अनुसन्धानकर्ताहरूले भने कि उनीहरूले कुनै प्रमाणीकरण बाईपास फेला पार्न सकेनन जुन आक्रमणकर्तालाई यो जोखिममा पार्न सक्दछ - जुन प्रमाणीकरण बाइपास उनीहरूले फेला पारे केहि सीजीआई स्क्रिप्टमा मात्र पहुँच प्रदान गर्दछ, एपीआई होइन कि यी अधिक हानिकारक आक्रमणहरू सक्षम गर्दछ।

यसैबीच, लिंकसिसले सबै प्रभावित मोडेलहरूको सूची प्रदान गरेको छ:

कमजोर लिys्किस राउटरहरूको सूची:

EA2700, EA2750, EA3500, EA4500v3, EA6100, EA6200, EA6300, EA6350v2, EA6350v3, EA6400, EA6500, EA6700, EA6900, EA7300, EA7400, EA7500, EA8300, EA8500, EA9200, EA9400, EA9500

IOActive द्वारा आयोजित Shodan खोजले ,7,000००० कमजोर उपकरणहरू पत्ता लगायो जुन सीधै इन्टरनेटबाट पहुँच गर्न सकिन्छ। अधिकांश खुलासा गरिएका उपकरणहरू (करीव%%%) संयुक्त राज्य अमेरिकामा अवस्थित छन्, र अन्य क्यानाडा (लगभग १०%), ह Hongक Kong (लगभग १.69%), चिली (१.~%) सहित विश्वभरि फैलिएका छन्। र नेदरल्याण्ड्स (~ १.10%)। भेनेजुएला, अर्जेन्टिना, रसिया, स्विडेन, नर्वे, चीन, भारत, बेलायत, अष्ट्रेलिया र अन्य धेरै देशहरूले कमजोर लि Links्कसाइ राउटरहरूको थोरै प्रतिशत (<१%) प्रतिनिधित्व गर्दैछन्।

जबकि अनुसन्धानकर्ताहरूले कमाण्ड इन्जेक्शन जोखिमलाई शोषण गर्न प्रमाणीकरण बाइपास गर्न कुनै तरिका फेला पारेनन्, तर तिनीहरूले determine,००० खुला गरिएको यन्त्रहरूमध्ये ११ प्रतिशतले डिफल्ट प्रमाणपत्रहरू प्रयोग गरिरहेको कुरा पत्ता लगाए।

आईओएक्टिभले मध्य जनवरीमा लिंक्सिसमा कमजोरीहरू रिपोर्ट गरे। विक्रेता प्रभावित उपकरणहरु को लागी फर्मवेयर अपडेट जारी गर्न मा काम गरीरहेको छ, र यसै बीच, यसले केहि शून्य सल्लाह प्रदान गरेको छ।

यी त्रुटिहरूबाट उत्पन्न हुने कम गर्नुहोस्:

अस्थायी शमनका रूपमा, लिys्कसिसले आफ्ना ग्राहकहरूलाई दुर्भावनापूर्ण गतिविधिमा कुनै पनि प्रयासहरू बेवास्ता गर्न कुनै पनि प्रभावित उत्पादहरूमा अतिथि नेटवर्क सुविधा अक्षम गर्न सिफारिस गर्‍यो।

कम्पनीले ग्राहकहरुलाई वेब प्रशासक ईन्टरफेस लाई बचाउन पूर्वनिर्धारित प्रशासक पासवर्ड परिवर्तन गर्न सल्लाह दियो।

लिंक्सिस सल्लाहकारले स्वचालित अपडेट सुविधा खोल्ने सिफारिश गर्दछ यदि फर्मवेयर प्याचहरू उपलब्ध हुन्छन् जब तिनीहरू उपलब्ध हुन्छन्।