למרות שעדיין לא הייתה רשימה מלאה של הדגמים שנעשו פגיעים על ידי הבאג, עד כה אנו יודעים שהוא משפיע על כל הנתבים שנוצרו עם ערכת פיתוח התוכנה של RealTek בפנים. אם ציר הזמן של יוזמת יום האפס יש להאמין, Zeke הציק ליצרנים הידועים שיצרו נתבים נגועים עבורם למעלה משנתיים, לפני שלבסוף בדק את הפגיעות בעצמו בעזרת מהנדסים ב-ZDI.
סרטונים מומלצים
"הפגם הספציפי קיים בשירות miniigd SOAP. הבעיה נעוצה בטיפול בבקשות NewInternalClient עקב כשל בחיטוי נתוני המשתמש לפני ביצוע קריאת מערכת. תוקף יכול למנף את הפגיעות הזו כדי להפעיל קוד עם הרשאות שורש", נכתב בייעוץ שפורסם בשבוע שעבר.
קָשׁוּר
- מומחים מצאו מספר שיא של פריצות ביום אפס בשנת 2021
- ניצול יום אפס של Internet Explorer הופך קבצים לפגיעים לפריצות במחשבי Windows
- למרות ליקויי אבטחה חמורים, D-Link לא יתקן (שוב) חלק מהנתבים
נכון לעכשיו, הדרך היחידה לדעת אם המכשיר הספציפי שלך מושפע או לא היא להריץ שאילתת Metasploit על הנתב שלך באופן אישי. אם תקבל בחזרה כל דבר שנראה כמו "RealTek/v1.3", אתה עלול להיות קורבן לניצול.
כפי שציינו בפירוק הפירוק הזה שלנו שבוע שעבר, חוקרים גילו שסוגים אלה של בעיות ניתן להימנע באופן זמני על ידי השבתת אפשרות הכנס-הפעל האוניברסלית בהגדרות הפנימיות של הנתב שלך.
נראה ש-UPnP הוא אחד מהדרכים העיקריות שבאמצעותן האקרים מוצאים את ההצלחה הגדולה ביותר בפיצוח נתבים לפי בחירתם. בהתחשב בכך שמספר האנשים שצריכים לשתף תיקיות ברשת מקומית אינו כה גבוה בימים אלה הודות לעזרת הענן, אולי הגיע הזמן שחברות כמו D-Link ו-Netgear יתחילו להשבית את האפשרות כברירת מחדל, במקום לשלוח אותה כבר עברה עַל.
המלצות עורכים
- Ryzen 9 7950X3D החדש של AMD מהיר עד 24% מהטוב ביותר של אינטל
- חוקר אבטחה מתוסכל חושף את באג האפס של Windows, מאשים את מיקרוסופט
- מצלמת D-Link נופלת באמצעי אבטחה, מגלה Consumer Reports
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.