Teadlane torkab augu D-Linki ja TrendNeti ruuteritesse

Kuigi vea tõttu haavatavaks muutunud mudelite täielikku loendit pole veel koostatud, teame siiani, et see mõjutab kõiki ruutereid, mis on valmistatud RealTeki tarkvaraarenduskomplektiga. Kui nullpäeva algatuse ajaskaala Usutavasti on Zeke kiusanud tootjaid, kes teadaolevalt on tootnud nakatunud ruutereid juba üle kahe aasta, enne kui lõpuks inseneride abiga haavatavust ise katsetada ZDI-s.

"Konkreetne viga on miniigd SOAP teenuses. Probleem seisneb NewInternalClienti päringute käsitlemises, kuna kasutajaandmeid ei õnnestunud enne süsteemikõne käivitamist puhastada. Ründaja võib seda haavatavust ära kasutada, et käivitada koodi juurõigustega,“ seisis eelmisel nädalal postitatud nõuandes.

Praegu on ainus viis teada saada, kas teie konkreetne seade on mõjutatud või mitte, käivitada oma ruuteris Metasploiti päring. Kui saate tagasi midagi, mis näeb välja nagu "RealTek/v1.3", võite olla ärakasutamise ohver.

Nagu märkisime selle jaotuse dekrüpteerimisel Eelmine nädal, on teadlased leidnud, et seda tüüpi probleeme saab ajutiselt vältida, kui keelate ruuteri sisemistes sätetes universaalse plug-and-play-valiku.

UPnP näib olevat üks peamisi võimalusi, mille kaudu häkkerid saavad oma valitud ruuterite murdmisel kõige edukamad olla. Arvestades, et inimeste arv, kes peavad kohalikus võrgus kaustu jagama, ei ole tänapäeval tänu pilve abile nii suur, võib-olla on viimane aeg, et sellised ettevõtted nagu D-Link ja Netgear hakkaksid selle valiku vaikimisi keelama, mitte tarnima seda juba vahetatud peal.

Toimetajate soovitused

• AMD uus Ryzen 9 7950X3D on kuni 24% kiirem kui Inteli parim
• Pettunud turvauurija avalikustas Windowsi nullpäeva vea, süüdistades Microsofti
• Consumer Reports leiab, et D-Linki kaameral ei ole turvameetmeid

Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.