Компания исправила проблемы, позволяющие обойти аутентификацию и вызвать утечку данных.
Компания D-Link выпустила бета-версию обновления прошивки серии коммутаторов для корпоративных сетей DGS-1510 Websmart, в котором исправлен ряд уязвимостей, позволяющих обойти механизм аутентификации и вызвать утечку данных. Уязвимости обнаружили исследователи безопасности Варанг Амин (Varang Amin) и Адитья Суд (Aditya K Sood), проинформировавшие производителя о наличии проблем в конце января нынешнего года.
Уязвимостям подвержены модели DGS-1510-28XMP, DGS-1510-28X, DGS-1510-52X, DGS-1510-52, DGS-1510-28P, DGS-1510-28, DGS-1510-20 с версиями прошивок до 1.31.B003 (включая версии 1.30.007 и 1.20.011).
Как пояснил Амин в интервью ресурсу The Register, удаленный атакующий из любой точки в интернете может проэксплуатировать вышеуказанные проблемы и выполнить команды на целевом устройстве. Амин и его коллеги обнаружили десятки уязвимых коммутаторов, доступных через Сеть, однако затруднились назвать точные цифры, так как не проводили специальное исследование.
Эксперты также разработали PoC-код, который планируют предоставить в распоряжение исследователей, занимающихся оценкой безопасности интегрированных устройств.