В роутерах Linksys обнаружили ряд неисправленных уязвимостей

В роутерах Linksys обнаружили ряд неисправленных уязвимостей

Исследователи компании SEC Consult рассказали о нескольких проблемах в роутерах Linksys. Как оказалось, специалисты обнаружили уязвимости в нескольких моделях серии E еще в июле 2017 года, после чего попытались связаться с производителем. Компания ответила специалистам лишь в сентябре 2017 года, заявив, что исправления для некоторых багов уже в работе, после чего связь вновь прервалась.

Согласно отчету SEC Consult, различные уязвимости содержат устройства Linksys E900, E1200 и E8400 AC2400, и это было официально подтверждено производителем. Кроме того, согласно проведенным исследователями тестам, баги присутствуют b в роутерах E2500,  E900-ME, E1500, E3200, E4300 и WRT54G2.

Сообщается, что специалисты обнаружили в роутерах Linksys пять разных уязвимостей и представили PoC-эксплоиты для каждой из них. Так, были найдены CSRF- и XSS-уязвимости, баг, позволяющий спровоцировать отказ в обслуживании (DoS), возможность осуществлять инъекции в HTTP-хедеры, а также проблема некорректного способа обработки данных сессий.

По словам специалистов, с помощью различных сочетаний атак на эти бреши злоумышленники могут спровоцировать перманентное DoS-состояние, переадресовать пользователя на вредоносный сайт, изменить настройки уязвимого устройства, а также выполнить вредоносный код в контексте браузерной сессии.

Так как инженеры Linksys не торопятся выпускать патчи, исследователи рекомендуют временно ограничить доступ к устройствам или вовсе прекратить их использование.

Источник: xakep.ru