您现在的位置: 华盟网 >> 漏洞 >> 最新漏洞 >> 路由 >> 正文

[组图]D-link多款路由器存在高危漏洞

2015/4/16 作者:彩儿 来源: 360安全播报
导读 该系列的路由器基于SOAP实现了用于设备间交互的HNAP协议,该协议的实现中对参数过滤不严谨,可造成命令执行,接合”D-Link HNAP 权限绕过漏洞”可无需权限执行任意命令。

http://www.77169.org/exploits/UploadFiles_7195/201504/20150416091405870.jpg

D-link公司向360攻防实验室提交的多款D-LINK路由器的安全漏洞进行了确认,并表示感谢。此次D-Link 系列的漏洞是由360攻防实验室于二月中旬发现并报送D-Link厂商,D-Link在4月份确认了漏洞信息并公布了17个型号的路由器存在该漏洞(下图)。

http://www.77169.org/exploits/UploadFiles_7195/201504/20150416091406926.png

漏洞描述:

         该系列的路由器基于SOAP实现了用于设备间交互的HNAP协议,该协议的实现中对参数过滤不严谨,可造成命令执行,接合”D-Link HNAP 权限绕过漏洞”可无需权限执行任意命令。

漏洞成因:

         该协议从SOAPAction以”/”为分隔符提取参数,未经过滤,直接进行了字符串拼接并传入systm执行系统命令。可造成命令执行。

http://www.77169.org/exploits/UploadFiles_7195/201504/20150416091406179.png

市面上D-Link的路由器型号较多,市场占有率大,所以影响范围比较大,而且路由器攻破的成本不高,只需要向路由器提交几个URL请求就可以拿到权限,但危害很大。而且此次受影响的路由器系列为D-link新推出的产品云路由,而云路由相当于一个小型的家庭控制中心。可以利用此漏洞获取用户上网的流量,从而获得用户上网的信息 ,并且能够直接读取到挂载云路由器上的硬盘数据。这比普通传统路由器的危害更严重。

http://www.77169.org/exploits/UploadFiles_7195/201504/20150416091406927.png

  4月13日,D-Link在官网上已经发布预警,登陆路由器后已经发布固件更新,要求更新固件版本进行升级。360攻防实验室表示将对此漏洞持续关注。

http://www.77169.org/exploits/UploadFiles_7195/201504/20150416091406196.png

受影响路由器的型号:  


http://www.77169.org/exploits/UploadFiles_7195/201504/20150416091406205.png


 

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇漏洞:

  • 下一篇漏洞:
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴