未分割的漏洞将概括的网络产品充满风险
Corbyn建议为BBC提供技术税
Windows Snooping补丁KB 2952664,KB 2976978又回来(再次)
普通的私人邮件作为州长担任州长;帐户被黑客攻击
迪拜争议法院和智能迪拜合作伙伴申请区块链
中兴通讯支付892万美元对伊朗的非法销售额
Hadoop集群中的糖果粉碎制造商国王转向谷歌云
IBM将AI供电的亮点工具带到美国打开网球运动员
随着云业务升起,甲骨文承诺IAAS增长
提高安全性是ISO 27001的顶级驱动程序
将Windows 10更新在Creators Update Build 15046中持有
NCSC发出核心问题,以帮助董事会评估网络风险
Gorgon集团显示简单的网络攻击仍然有效
政府项目看门狗建议终止GOV.uk核实身份项目
FBI警告全球ATM网络犯罪狂欢
Microsoft延迟了第三方Cortana集成的工具
Gradle升级让Devs为Android制造Java应用程序
MWC抗议询问了400万次召回的注释7电池的命运
如果我们没有数字化NHS,我们会谴责人们死亡,说NHS英国的运营总监
电池安全仍然是三星和其他手机制造商的思想
在班次中,更多房主正在购买太阳能电池板,而不是租赁它们
机器人与IOT设备的安全漏洞困扰
政府资助六个连接的车辆仿真项目
高级公务员地址Techuk智慧状态主题
U.S. Drops儿童色情案件避免披露Tor漏洞
元素AI团队与AI新加坡队伍
英国和盟友指责俄罗斯网络攻击运动
蒂姆厨师的'无处不在的计划'的计划在一起
斯诺登的ex-boss提供了停止内幕威胁的提示
Microsoft的Visual Studio 2017命中普通可用性
旧的Windows Malware可能篡改了132 Android应用程序
Hyperoptic提高了250万英镑的资金来推出全纤维宽带
新西兰运行国家网络安全运动
三星的脱节操作系统策略为用户带来了障碍
报告证实了网络攻击者的人顶级目标
用臂芯片的强大桌面的解剖结构
Wikileaks Dump将CIA间谍活动带入聚光灯
亚马逊和苹果否认中国政府窃听了他们的服务器
大多数安全专业专业专业专业顾问关于选举基础设施
Wikileaks的CIA文件转储显示机构可以妥协Android,电视
高级法庭块Google iPhone隐私诉讼
现在是时候陷入窗户和办公室补丁时
爱尔兰税务办公室检测客户服务人工智能
Brexit无法妨碍欧盟到英国的个人数据流动
劳埃德银行估计,已于首席执行官欺诈袭击的五百万英国公司
Danske Bank投资了爱沙尼亚问题后的反洗钱系统
Oracle优先级java 9错误修复
雅虎违规公开了国家赞助的黑客攻击
采取行动想要将“Waze经验”带来营销自动化
Telenor夺回了20,000名员工,因为它准备了数字技术的影响
您的位置:首页 >科技 > 技术前沿 >

未分割的漏洞将概括的网络产品充满风险

2021-08-11 14:44:10 [来源]:

未咬合的命令注入漏洞可能允许黑客从概括网络中接管企业网络产品。

SEC Conserse的研究人员发现了该漏洞,并允许经过身份验证的用户将任意命令注入受影响设备的基于Web的管理界面。这些命令将在底层操作系统上执行,以root是最高的特权帐户。

因为它需要身份验证,漏洞的影响有点减少,但仍然可以通过跨站点请求伪造(CSRF)远程剥削。这是一种攻击技术,涉及强制用户的浏览器在访问攻击者控制的网站时将未授权的请求发送到在后台中专门制作的URL。

“通过攻击攻击的用户可以利用漏洞,以单击制作的链接或只是在恶意网站上冲浪,”SEC咨询研究人员周四在咨询中表示。“整个攻击可以通过单个Get-Request进行,并且由于没有CSRF保护,因此非常简单。”

攻击者在危及基于CSRF的攻击之前损害了Home Routers en Masse并更改其DNS设置。这些攻击被称为路由器药。

通过利用此漏洞,攻击者可以在受影响的设备上打开所谓的反向shell,这将允许它们执行进一步的命令并安装内部网络上计算机或服务器的恶意软件或启动攻击。

SEC咨询研究人员已经在四个Ubiquiti网络设备上成功测试了利用:TS-8-PRO,M5(火箭),PICOM2HP(PicostationM2HP)和NSM5(NanostationM5)。但是,在对其他固件包的自动分析之后,他们认为额外的38个设备模型可能会受到影响。

据他们说,该脆弱性在11月22日向难以达到危害。卖方承认缺陷。但是,自1月24日以来,尽管重复呼吁地位更新,但仍然没有从笨蛋进行进一步的沟通,因此SEC咨询决定发布咨询。

研究人员已经重新释放了释放概念验证,但他们已经命名为脆弱的固件组件,这可能允许其他研究人员甚至恶意黑客自己自己找到缺陷。

无处不在网络没有立即回复评论请求。

在没有修复的情况下,也建议用户限制对ubiquity设备的管理界面的访问,即使是来自本地网络。

此缺陷还应作为提醒,不要为浏览器内的路由器和其他网络设备留下主动登录的会话。一些泛滥的设备允许创建较低的特权帐户,该帐户也可用于利用此漏洞。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。