hiwebpw
October 10th, 2019, 18:27
پژوهشگران امنیتی وجود یک آسیبپذیری بحرانی اجرای کد از راه دور را در طیف وسیعی از مسیریابهای D-Link تایید کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هفته گذشته Fortinet اعلام کرد که آسیبپذیری کشفشده در مسیریابهای D-Link با شناسه ردیابی CVE-2019-16920 در سپتامبر ۲۰۱۹ شناسایی شد. به گفته پژوهشگر Fortinet، آسیبپذیری تزریق دستور احراز هویت نشده، firmwareهای محصولات DIR-655 ،DIR-866L ،DIR-652 و DHP-1565 شرکت D-Link را تحتتاثیر قرار میدهد.
این آسیبپذیری با ارسال یک ورودی دلخواه به رابط درگاه PingTest توسط مهاجم مورد بهرهبرداری قرار میگیرد که منجر به تزریق دستور و تحت کنترل درآوردن کل سیستم میشود. برای این باگ نمره CVSS 10 صادر شدهاست. بهمنظور سوءاستفاده از نقص امنیتی، Fortinet میگوید مهاجمان میتوانند از راه دور به سیستم ورود کنند که اعتبارسنجی آن ضعیف انجام شدهاست. احراز هویت ضعیف باعث میشود تا کد بدون توجه به سطح دسترسی کاربر اجرا شود. کد مخرب میتواند برای ارسال یک درخواست HTTP POST به PingTest، دریافت اطلاعات احرازهویت یا نصب درپشتی ارسال شود.
پژوهشگران امنیتی یافتههای خود را در ۲۲ سپتامبر برای D-Link ارسال کردند. این شرکت وجود آسیبپذیری را تأیید، اما اعلام کردهاست از آنجا که عمر پشتیبانی از این محصولات به پایان رسیدهاست، وصلهای برای رفع آن منتشر نخواهدشد. بنابراین کاربرانی که از این مسیریابها استفادهمیکنند برای رفع خطر سوءاستفاده از آسیبپذیریهای آنها، باید محصولات از رده خارج شده خود را جایگزین کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هفته گذشته Fortinet اعلام کرد که آسیبپذیری کشفشده در مسیریابهای D-Link با شناسه ردیابی CVE-2019-16920 در سپتامبر ۲۰۱۹ شناسایی شد. به گفته پژوهشگر Fortinet، آسیبپذیری تزریق دستور احراز هویت نشده، firmwareهای محصولات DIR-655 ،DIR-866L ،DIR-652 و DHP-1565 شرکت D-Link را تحتتاثیر قرار میدهد.
این آسیبپذیری با ارسال یک ورودی دلخواه به رابط درگاه PingTest توسط مهاجم مورد بهرهبرداری قرار میگیرد که منجر به تزریق دستور و تحت کنترل درآوردن کل سیستم میشود. برای این باگ نمره CVSS 10 صادر شدهاست. بهمنظور سوءاستفاده از نقص امنیتی، Fortinet میگوید مهاجمان میتوانند از راه دور به سیستم ورود کنند که اعتبارسنجی آن ضعیف انجام شدهاست. احراز هویت ضعیف باعث میشود تا کد بدون توجه به سطح دسترسی کاربر اجرا شود. کد مخرب میتواند برای ارسال یک درخواست HTTP POST به PingTest، دریافت اطلاعات احرازهویت یا نصب درپشتی ارسال شود.
پژوهشگران امنیتی یافتههای خود را در ۲۲ سپتامبر برای D-Link ارسال کردند. این شرکت وجود آسیبپذیری را تأیید، اما اعلام کردهاست از آنجا که عمر پشتیبانی از این محصولات به پایان رسیدهاست، وصلهای برای رفع آن منتشر نخواهدشد. بنابراین کاربرانی که از این مسیریابها استفادهمیکنند برای رفع خطر سوءاستفاده از آسیبپذیریهای آنها، باید محصولات از رده خارج شده خود را جایگزین کنند.