Netcomm Wireless工业路由器存在严重漏洞

  • A+
所属分类:网络安全新闻

安全研究人员发现了澳大利亚公司NetComm Wireless生产的工业路由器中的两个关键漏洞。
安全研究员Aditya K. Sood发现了澳大利亚公司NetComm Wireless制造的工业路由器中的两个关键漏洞,可以远程利用这些漏洞来控制受影响的设备。受影响的型号是NetComm 4G LTE轻工业M2M路由器,运行固件版本2.0.29.11和之前。

Sood在2017年10月报告了ICS-CERT的缺陷。

Netcomm Wireless工业路由器存在严重漏洞

该CSRF和XSS漏洞已被列为由为“关键”,而信息披露问题被列为“高严重性”的ICS-CERT发布的安全顾问的影响工业路由器四个漏洞带来的,警告。使用CVE标识符CVE-2018-14782到CVE-2018-14785跟踪的问题是信息披露,跨站点请求伪造,跨站点脚本,通过目录列表的信息暴露。

远程攻击者可以触发跨站点请求伪造条件以更改设备的密码。

“当一个Web服务器被设计为接收来自客户端的请求而没有任何机制来验证它是故意发送的时候,那么攻击者可能会欺骗客户端向Web服务器发出无意的请求,该请求将被处理作为真实的要求。这可以通过URL,图像加载,XMLHttpRequest等来完成,并可能导致数据暴露或意外的代码执行。“阅读安全建议。

Netcomm工业路由器易受多种跨站点脚本攻击,远程攻击者可以执行它们在设备上运行任意代码。

“该软件在放入输出之前不会中和或不正确地中和用户可控制的输入,该输出用作向其他用户提供的网页。”该咨询报告称。

XSS漏洞与嵌入式Web服务器上托管的应用程序的故障相关联,以过滤和清理输入。

另一个缺陷是通过目录列表的信息泄露,可以由攻击者触发以获取位于目录内的所有资源的完整索引。

最后一个问题是信息泄露问题,攻击者可利用该问题获取路由器组件的详细信息。

NetComm已经发布固件更新。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!