D-Link中的漏洞,Comba路由器可以泄漏证书

admin 2022年4月6日10:12:17评论113 views字数 1413阅读4分42秒阅读模式

D-Link中的漏洞,Comba路由器可以泄漏证书


研究人员发现了D-Link和Comba Telecom路由器中的漏洞,这些漏洞可能会泄露设备的密码,并有可能影响使用它们进行访问的网络上的每个用户。缺陷可能会通过将其引导到恶意网站或阻止其访问重要数据或资源来影响网络上的每个设备和用户。


D-Link中的漏洞,Comba路由器可以泄漏证书


Trustwave SpiderLabs安全研究员Simon Kenin发现了漏洞 - 两个在D-Link DSL调制解调器中通常安装用于连接家庭网络到ISP,以及三个用于多个Comba Telecom WiFi设备 - Trustwave在周二的博客文章中公布了这些漏洞。


“所有漏洞都涉及不安全的凭证存储,其中包括三个明文凭据可供任何具有网络访问权限的用户使用,”该帖子称。


由于家庭用户的路由器是进出其整个网络的网关,因此Trustwave警告用户非常重视这些漏洞。


该公司在帖子中写道:“攻击者控制的路由器可以操纵用户如何解析DNS主机名以将用户引导到恶意网站。” “攻击者控制的路由器可以拒绝进出网络,可能阻止用户访问重要资源或阻止客户访问您的网站。”


该公司在帖子中表示,Trustwave研究人员还看到攻击者使用这些漏洞来操纵网络流量来嵌入他们自己的内容。研究人员引用了大约一年前的情景,当时肯宁发现不良演员正在使用未打补丁的Mikrotik路由器在通过它们的所有流量中嵌入加密劫持脚本。


具体而言,两个D-Link漏洞分别影响D-Link DSL-2875AL和DSL-2875AL以及DSL-2877AL。据Trustwave称,发现的第一个Coomba漏洞影响AC2400 Wi-Fi接入控制器,另外两个影响Comba AP2600-I WiFi接入点(版本A02,0202N00PD2)。


Trustwave的披露团队表示,在发现漏洞后,它已经“多次尝试”通知两家公司的漏洞。该公司表示,他们的回应 - 或缺乏回应 - 表明设备制造商忽视了严肃对待外部安全建议的持续性问题。


在最初称D-Link的回应“令人困惑并且不幸的是非常典型的组织没有设置为接受第三方研究人员的安全问题”之后,Trustwave表示该公司最终证实它修补了受影响的设备。那些尚未通过Trustwave验证的补丁可以在这里找到:

http://files.dlink.com.au/products/DSL-2875AL/REV_A/Firmware/Firmware_v1.00.08AU_20161011/DSL2875ALA1_FW1.00.08AU_20161011.bin

http://files.dlink.com.au/products/DSL-2877AL/REV_A/Firmware/Firmware_1.00.20AU_20180327/DSL2877ALA1_FW1.00.20AU_20180327.bin

“这些路由器和接入点的用户需要验证它们是否位于最新固件上,并且可能希望使用内部过滤控制或单独的过滤设备(如防火墙)来限制对这些设备的基于Web的管理的访问权限一小组授权IP地址,“Trustwave在帖子中建议。


另一方面,Comba“根本没有反应”,并且仍然不知道公司是否正在开发补丁,据Trustwave称。


D-Link中的漏洞,Comba路由器可以泄漏证书


转发是对我们最大的鼓励


                                                                                            点个看吧↓




原文始发于微信公众号(红数位):D-Link中的漏洞,Comba路由器可以泄漏证书

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日10:12:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   D-Link中的漏洞,Comba路由器可以泄漏证书http://cn-sec.com/archives/634997.html

发表评论

匿名网友 填写信息