В коммутаторах D-Link обнаружены критические уязвимости

Компания D-Link выпустила бета-версию обновления прошивки серии коммутаторов для корпоративных сетей DGS-1510 Websmart, в котором исправлен ряд уязвимостей, позволяющих обойти механизм аутентификации и вызвать утечку данных. Уязвимости обнаружили исследователи безопасности Варанг Амин (Varang Amin) и Адитья Суд (Aditya  K Sood), проинформировавшие производителя о наличии проблем в конце января нынешнего года.

Уязвимостям подвержены модели DGS-1510-28XMP, DGS-1510-28X, DGS-1510-52X, DGS-1510-52, DGS-1510-28P, DGS-1510-28, DGS-1510-20 с версиями прошивок до 1.31.B003 (включая версии 1.30.007 и 1.20.011).

Как пояснил Амин в интервью ресурсу The Register, удаленный атакующий из любой точки в интернете может проэксплуатировать вышеуказанные проблемы и выполнить команды на целевом устройстве. Амин и его коллеги обнаружили десятки уязвимых коммутаторов, доступных через Сеть, однако затруднились назвать точные цифры, так как не проводили специальное исследование.

Эксперты также разработали PoC-код, который планируют предоставить в распоряжение исследователей, занимающихся оценкой безопасности интегрированных устройств.