D-link多款路由器存在高危漏洞-华盟网

D-link多款路由器存在高危漏洞

华盟学院山东省第二期线下学习计划

D-link多款路由器存在高危漏洞

D-link公司向360攻防实验室提交的多款D-LINK路由器的安全漏洞进行了确认,并表示感谢。此次D-Link 系列的漏洞是由360攻防实验室于二月中旬发现并报送D-Link厂商,D-Link在4月份确认了漏洞信息并公布了17个型号的路由器存在该漏洞(下图)。

D-link多款路由器存在高危漏洞

漏洞描述:

         该系列的路由器基于SOAP实现了用于设备间交互的HNAP协议,该协议的实现中对参数过滤不严谨,可造成命令执行,接合”D-Link HNAP 权限绕过漏洞”可无需权限执行任意命令。

漏洞成因:

         该协议从SOAPAction以”/”为分隔符提取参数,未经过滤,直接进行了字符串拼接并传入systm执行系统命令。可造成命令执行。

D-link多款路由器存在高危漏洞

市面上D-Link的路由器型号较多,市场占有率大,所以影响范围比较大,而且路由器攻破的成本不高,只需要向路由器提交几个URL请求就可以拿到权限,但危害很大。而且此次受影响的路由器系列为D-link新推出的产品云路由,而云路由相当于一个小型的家庭控制中心。可以利用此漏洞获取用户上网的流量,从而获得用户上网的信息 ,并且能够直接读取到挂载云路由器上的硬盘数据。这比普通传统路由器的危害更严重。

D-link多款路由器存在高危漏洞

  4月13日,D-Link在官网上已经发布预警,登陆路由器后已经发布固件更新,要求更新固件版本进行升级。360攻防实验室表示将对此漏洞持续关注。

D-link多款路由器存在高危漏洞

受影响路由器的型号:  

D-link多款路由器存在高危漏洞

 

www.idc126.com

原文地址:https://exploits.77169.com/2015/20150416074731.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论