Nowy sposób na zdobycie roota w D-Linkach bez uwierzytelnienia!

Nowy sposób na zdobycie roota w D-Linkach bez uwierzytelnienia!

2015-04-11 12:40 Redakcja

W świecie bezpieczeństwa sieciowego pojawił się nowy, kontrowersyjny sposób na zdobycie dostępu do urządzeń D-Link. Badania pokazują, że nieautoryzowany dostęp na poziomie root można uzyskać za pomocą jednego prostego żądania HTTP.

Wystarczy użyć komendy:
wget --header='SOAPAction: "http://purenetworks.com/HNAP1/GetDeviceSettings/`telnetd`"' http://192.168.0.1/HNAP1 aby nawiązać połączenie z urządzeniem. Po zalogowaniu, użytkownik uzyskuje dostęp do wbudowanego terminala BusyBox, co otwiera drzwi do wielu możliwości.

Jak pokazuje badanie, problemem jest bezpośrednie przekazywanie parametrów do funkcji, co pozwala na wykonanie złośliwego kodu bez odpowiedniego filtrowania. Zaleca się, aby właściciele tych urządzeń byli świadomi potencjalnych zagrożeń i regularnie aktualizowali swoje oprogramowanie.

Fanom technologii i bezpieczeństwa polecamy zgłębić cytowane badanie oraz rozważyć zakup tych urządzeń, aby samodzielnie przeanalizować przedstawione metody.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.