الباحث يخدع حفرة في موجّهات D-Link و TrendNet

على الرغم من عدم وجود قائمة كاملة للنماذج التي أصبحت عرضة للهجوم بسبب الخطأ حتى الآن ، فإننا نعلم حتى الآن أنها تؤثر على أي أجهزة توجيه تم تصنيعها باستخدام مجموعة تطوير برامج RealTek بالداخل. لو الجدول الزمني من مبادرة Zero Day يُعتقد أن شركة Zeke كانت تزعج الشركات المصنعة المعروفة بإنتاج أجهزة توجيه مصابة من أجلها أكثر من عامين حتى الآن ، قبل أن يختبر أخيرًا الثغرة الأمنية بمساعدة المهندسين في ZDI.

"الخلل المحدد موجود في خدمة SOAP المصغرة. تكمن المشكلة في معالجة طلبات NewInternalClient بسبب الفشل في تعقيم بيانات المستخدم قبل تنفيذ استدعاء النظام. يمكن للمهاجم الاستفادة من هذه الثغرة الأمنية لتنفيذ تعليمات برمجية بامتيازات الجذر "، كما جاء في النص الإرشادي المنشور الأسبوع الماضي.

الطريقة الوحيدة حاليًا لمعرفة ما إذا كان جهازك المحدد سيتأثر أم لا هي تشغيل استعلام Metasploit على جهاز التوجيه الخاص بك شخصيًا. إذا استعدت أي شيء يشبه "RealTek / v1.3" ، فمن المحتمل أن تكون ضحية للاستغلال.

كما لاحظنا في هذا الانهيار فك تشفير الأسبوع الماضي، وجد الباحثون أن هذه الأنواع من المشكلات يمكن تجنبها مؤقتًا عن طريق تعطيل خيار التوصيل والتشغيل العام داخل الإعدادات الداخلية لجهاز التوجيه الخاص بك.

يبدو أن UPnP هو أحد السبل الأساسية التي يجد المتسللون من خلالها أكبر قدر من النجاح في اختراق أجهزة التوجيه التي يختارونها. بالنظر إلى أن عدد الأشخاص الذين يحتاجون إلى مشاركة المجلدات على شبكة محلية ليس مرتفعًا هذه الأيام بفضل مساعدة السحابة ، ربما حان الوقت لتبدأ شركات مثل D-Link و Netgear في تعطيل الخيار افتراضيًا ، بدلاً من تبديل الشحن باستخدامه بالفعل على.

توصيات المحررين

• معالج Ryzen 9 7950X3D الجديد من AMD أسرع بنسبة تصل إلى 24٪ من أفضل معالج Intel
• باحث أمني محبط يكشف عن خطأ في نظام التشغيل Windows ، يلقي باللوم على Microsoft
• وجدت تقارير المستهلك أن كاميرا D-Link تقصر في الإجراءات الأمنية

ترقية نمط حياتكتساعد Digital Trends القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والافتتاحيات الثاقبة والنظرات الخاطفة الفريدة من نوعها.