未分割的漏洞将概括的网络产品充满风险
未咬合的命令注入漏洞可能允许黑客从概括网络中接管企业网络产品。
SEC Conserse的研究人员发现了该漏洞,并允许经过身份验证的用户将任意命令注入受影响设备的基于Web的管理界面。这些命令将在底层操作系统上执行,以root是最高的特权帐户。
因为它需要身份验证,漏洞的影响有点减少,但仍然可以通过跨站点请求伪造(CSRF)远程剥削。这是一种攻击技术,涉及强制用户的浏览器在访问攻击者控制的网站时将未授权的请求发送到在后台中专门制作的URL。
“通过攻击攻击的用户可以利用漏洞,以单击制作的链接或只是在恶意网站上冲浪,”SEC咨询研究人员周四在咨询中表示。“整个攻击可以通过单个Get-Request进行,并且由于没有CSRF保护,因此非常简单。”
攻击者在危及基于CSRF的攻击之前损害了Home Routers en Masse并更改其DNS设置。这些攻击被称为路由器药。
通过利用此漏洞,攻击者可以在受影响的设备上打开所谓的反向shell,这将允许它们执行进一步的命令并安装内部网络上计算机或服务器的恶意软件或启动攻击。
SEC咨询研究人员已经在四个Ubiquiti网络设备上成功测试了利用:TS-8-PRO,M5(火箭),PICOM2HP(PicostationM2HP)和NSM5(NanostationM5)。但是,在对其他固件包的自动分析之后,他们认为额外的38个设备模型可能会受到影响。
据他们说,该脆弱性在11月22日向难以达到危害。卖方承认缺陷。但是,自1月24日以来,尽管重复呼吁地位更新,但仍然没有从笨蛋进行进一步的沟通,因此SEC咨询决定发布咨询。
研究人员已经重新释放了释放概念验证,但他们已经命名为脆弱的固件组件,这可能允许其他研究人员甚至恶意黑客自己自己找到缺陷。
无处不在网络没有立即回复评论请求。
在没有修复的情况下,也建议用户限制对ubiquity设备的管理界面的访问,即使是来自本地网络。
此缺陷还应作为提醒,不要为浏览器内的路由器和其他网络设备留下主动登录的会话。一些泛滥的设备允许创建较低的特权帐户,该帐户也可用于利用此漏洞。