باحث يحفر ثغرة في أجهزة التوجيه D-Link وTrendNet

على الرغم من عدم وجود قائمة كاملة بالنماذج التي أصبحت عرضة للخطر بسبب هذا الخطأ حتى الآن، إلا أننا نعلم حتى الآن أنه يؤثر على أي أجهزة توجيه تم تصنيعها باستخدام مجموعة أدوات تطوير برامج RealTek بداخلها. لو الجدول الزمني لمبادرة يوم الصفر من المعتقد أن Zeke كان يضايق الشركات المصنعة المعروفة بإنتاج أجهزة توجيه مصابة لها ما يزيد عن عامين حتى الآن، قبل أن يختبر الثغرة الأمنية بنفسه بمساعدة المهندسين في ZDI.

"الخلل المحدد موجود في خدمة miniigd SOAP. تكمن المشكلة في معالجة طلبات NewInternalClient بسبب الفشل في تنظيف بيانات المستخدم قبل تنفيذ استدعاء النظام. يمكن للمهاجم الاستفادة من هذه الثغرة الأمنية لتنفيذ التعليمات البرمجية بامتيازات الجذر،" اقرأ الاستشارة المنشورة الأسبوع الماضي.

الطريقة الوحيدة حاليًا لمعرفة ما إذا كان جهازك المحدد متأثرًا أم لا هي تشغيل استعلام Metasploit على جهاز التوجيه الخاص بك شخصيًا. إذا استعدت أي شيء يشبه "RealTek/v1.3"، فمن المحتمل أن تكون ضحية لهذا الاستغلال.

كما لاحظنا في فك تشفير هذا الانهيار الأسبوع الماضيلقد وجد الباحثون أن هذه الأنواع من المشاكل يمكن تجنبها مؤقتًا عن طريق تعطيل خيار التوصيل والتشغيل الشامل داخل الإعدادات الداخلية لجهاز التوجيه الخاص بك.

يبدو أن UPnP هو إحدى الطرق الأساسية التي يحقق من خلالها المتسللون أكبر قدر من النجاح في اختراق أجهزة التوجيه التي يختارونها. مع الأخذ في الاعتبار أن عدد الأشخاص الذين يحتاجون إلى مشاركة المجلدات على شبكة محلية ليس مرتفعًا هذه الأيام بفضل مساعدة السحابة، ربما حان الوقت لأن تبدأ شركات مثل D-Link وNetgear في تعطيل الخيار افتراضيًا، بدلاً من الشحن مع تبديله بالفعل على.

توصيات المحررين

• معالج Ryzen 9 7950X3D الجديد من AMD أسرع بنسبة تصل إلى 24% من أفضل معالجات Intel
• باحث أمني محبط يكشف عن خطأ برمجي في Windows، ويلقي باللوم على Microsoft
• وجدت تقارير المستهلك أن كاميرا D-Link لا تلبي الإجراءات الأمنية

ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.