Эксперт: D-Link не сумела должным образом исправить HNAP-уязвимости в своих маршрутизаторах

image

Теги: уязвимость, безопасность, протокол

Эксплуатация брешей позволяет неавторизованному атакующему осуществить внедрение команд через запросы HNAP.

Исследователь безопасности компании Tactical Network Solutions Крейг Хеффнер (Craig Heffner)  заявил , что D-Link не исправила должным образом уязвимости в своих продуктах. Впервые о брешах в протоколе Home Network Administration Protocol (HNAP)  сообщили  специалисты компании Qihoo360 Самюэль Хантли (Samuel Huntley) и Чжан Веи (Zhang Wei), чуть позже эти же бреши обнаружил и Хеффнер.

Как  следует  из бюллетеня безопасности, опубликованного D-Link,  уязвимости  затрагивают несколько моделей маршрутизаторов: DAP-1522, DIR-629, DIR-300, DIR-600, DIR-645, DIR-815, DIR-816L, DIR-850L и даже новую версию DIR-890L. Эксплуатация брешей позволяет неавторизованному атакующему осуществить внедрение команд через запросы HNAP. Злоумышленник может использовать уязвимости для получения доступа к информации, размещенной на хостах, подключенных к локальной сети, изменить настройки системы и восстановить фабричные настройки устройства.

Компания D-Link выпустила исправленное обновление прошивок для нескольких моделей маршрутизаторов, включая DIR-890L. Тем не менее, проанализировав патч, Хеффнер пришел к выводу, что на деле одна из  уязвимостей  не была исправлена надлежащим образом. 

«Этот патч не способен предотвратить выполнение совершенно валидных административных HNAP операций неавторизованным пользователем, потому что все, что он делает - всего лишь подтверждает валидность HNAP-действия», - отметил эксперт в своем блоге.

Как сообщает издание SecurityWeek, в настоящее время специалисты D-Link работают над исправлением уязвимости, вторично обнаруженной исследователем. Производитель рекомендует пользователям внимательно следить за выходом обновлений на странице техподдержки компании.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.