Лучшие приложения.
Лучшие приложения.
Лучшие приложения.
Лучшие приложения.

В сетевых накопителях D-Link обнаружена масса уязвимостей



В сетевых накопителях D-Link обнаружена масса уязвимостей


Исследователи из компании Search-Lab обнаружили десятки уязвимостей в нескольких продуктах компании D-Link, некоторые из которых позволяют атакующему обойти аутентификацию или загрузить произвольные файлы на целевые устройства, сообщает «Лаборатория Касперского».

Уязвимости были обнаружены в различных сетевых накопительных устройствах, и компания уже выпустила обновленную прошивку, призванную устранить часть проблем. Исследователи, обнаружившие уязвимости, заявили, что есть целый ряд устройств D-Link, уязвимых как к обходу аутентификации, так и к внедрению команд и загрузке произвольных файлов.

К числу уязвимых устройств относятся D-Link DNS-320, 320L, 326, 327L, 320B, 345, 325 и 322L. Тем не менее не все устройства содержат весь набор уязвимостей. Самой распространенной уязвимостью, обнаруженной экспертами, оказался обход аутентификации.

«Login_mgr.cgi выполнил аутентификацию на основе учетных данных ОС, хранящихся в файле в /etc/shadow. Поскольку shadow-файл использовался напрямую, то любая валидная комбинация юзернейма и пароля может быть использована в качестве учетных данных для входа в систему», — говорится в отчете Search-Lab.

Дефолтный shadow-файл содержит информацию о нескольких пользователях, включая root, nobody и admin.

«Дефолтные пароли пользователей admin, nobody и root пусты. Поскольку любой юзернейм может быть использован для входа в систему, у пользователя должна быть возможность изменить соответствующий пароль. Однако пользовательский интерфейс позволяет изменить пароль только для пользователя admin», — гласит отчет.

Эксперты Search-Lab также обнаружили, по их словам, бэкдор в некоторых устройствах D-Link. Этой проблеме подвержены DNS-320L, 327L, 320B, 345, 325, 322L и DNR-326.

«Мы обнаружили, что еще до проверки начала сессии (login_check) файлы system_mgr.cgi и wizard_mgr.cgi проверяют, соответствует ли значение полученной команды (параметр cmd) значению cgi_set_wto. Если проверка прошла удачно, создается новая сессия с текущим временем и удаленным адресом пользователя, запросившего сессию, — говорится в отчете Search-Lab.
Автор: Softodrom.ru
Дата:
Новые публикации: Железо
26.02.2020 03:48

Создан свободный сотовый телефон с дисковым набором

Во главу угла ставилось удобство использования телефона без сенсорного экрана, в связи с чем разработка может показать функции, пока еще недоступные многим из современных смартфонов

16.02.2020 13:37

Microsoft представила новую Bluetooth-клавиатуру

Компания Microsoft представила новую Bluetooth-клавиатуру, пополняющую семейство беспроводных аксессуаров

14.02.2020 23:34

Поставка китайских деталей для российских планшетов задерживается из-за коронавируса

Поставка планшетов для всероссийской переписи населения может оказаться под угрозой из-за задержки комплектующих из Китая

13.02.2020 13:50

«Ростех» представил линейку компьютеров ЭЛИК на базе процессоров «Эльбрус»

Изделия совместимы с российскими операционными системами «Эльбрус Linux», «Альт», «Астра Linux», «Нейтрино» и офисными пакетами «МойОфис» и LibreOffice

13.02.2020 06:34

«Яндекс.Станция Мини» подорожает из-за коронавируса

Розничная цена умной колонки «Яндекс.Станция Мини» увеличится из-за ситуации с китайским коронавирусом

Популярные статьи: Железо
04.02.2020 12:53

Роскачество назвало лучшие домашние и портативные колонки

Роскачество представило результаты своего исследования домашних и портативных колонок

08.02.2020 10:59

Samsung объяснила блокировку своих «умных» телевизоров в России

Компания Samsung опубликовала заявление, в котором поясняются причины блокировки некоторых функций «умных» телевизоров у российских пользователей

16.02.2020 13:37

Microsoft представила новую Bluetooth-клавиатуру

Компания Microsoft представила новую Bluetooth-клавиатуру, пополняющую семейство беспроводных аксессуаров

13.02.2020 13:50

«Ростех» представил линейку компьютеров ЭЛИК на базе процессоров «Эльбрус»

Изделия совместимы с российскими операционными системами «Эльбрус Linux», «Альт», «Астра Linux», «Нейтрино» и офисными пакетами «МойОфис» и LibreOffice

09.02.2020 16:22

Выбран поставщик планшетов для переписи населения России

«Ростелеком» выбрал компании, которые станут поставщиками планшетов для всероссийской переписи населения

» Оставьте первым свой комментарий

Новости /
Железо /
В сетевых накопителях D-Link обнаружена масса уязвимостей
Все рубрики статей:

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».