The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблемы с безопасностью в беспроводных маршрутизаторах Asus RT-N10E

08.10.2013 09:48

В популярной серии беспроводных маршрутизаторов Asus RT-N10E устранена опасная уязвимость (CVE-2013-3610), позволяющего злоумышленнику получить доступ к конфигурации устройства без прохождения аутентификации. Доступ к информации может быть получен через запрос страницы http://IP-устройства/qis/QIS_finish[.]htm, после чего без запроса логина и пароля будет выведено содержимое БД с конфигурацией маршрутизатора, включающей, в том числе, хранящийся в открытом виде пароль для входа с правами администратора.

Проблема устранена в прошивке 2.0.0.25. Опасность уязвимости уменьшает то, что по умолчанию доступ к web-интерфейсу открыт только для локальной сети.

  1. Главная ссылка к новости (http://threatpost.com/router-f...)
  2. OpenNews: Исследование показало плачевное состояние защищённости SOHO-маршрутизаторов
  3. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  4. OpenNews: Droidifi - прошивка для беспроводных маршрутизаторов, основанная на платформе Android
  5. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
  6. OpenNews: Раскрыты детали критической уязвимости в устройствах с поддержкой UPnP от различных производителей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38100-security
Ключевые слова: security, asus, wifi, router
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Скиталец (?), 10:16, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >хранящийся в открытом виде пароль для входа с правами администратора.

    Ай молодца, про хэши они, конечно, не слышали.

     
  • 1.2, Вася (??), 10:16, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно, когда они начнут хранить пароли авторизации в хешированном с солью виде? (риторический вопрос)
     
     
  • 2.18, Аноним (-), 18:49, 08/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В хомячковых девайсах это не обязательно ))
    Что-нить действительно безопасное до 2000 разве выпускают? (не считая кастомных прошивок)
     
  • 2.22, Аноним (-), 21:50, 11/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, когда они начнут хранить пароли авторизации в хешированном с солью виде?
    > (риторический вопрос)

    а это не пароль ;)
    это строка текста, которая при загрузке используется для установки пароля с помощью passwd, и поэтому здесь не может быть хэш

     

  • 1.3, Аноним (-), 11:21, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну вот, спалили АНБшный универсальный логин :). AWARD_SW 2.0: теперь с веб-интрфейсом!
     
  • 1.6, listforever (?), 13:49, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это была не уязвимость, а фича! Этож домашний рутер. Забыл вот ты, такой, пароль админский - взял да и посмотрел... А теперь придется в дефолт и перенастраивать...
     
     
  • 2.16, Аноним (-), 18:26, 08/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Это была не уязвимость, а фича! Этож домашний рутер.

    Это что, повод не ставить на дверь замок? И вообще, оставить ее открытой. Вдруг кто зайти захочет. Это же не охраняемый объект, а всего лишь хомячковая хата...

     

  • 1.7, Аноним (-), 13:50, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно как насчет других моделей? Надо по приходу домой на своем RT-65N затестить.
     
  • 1.8, Sylvia (ok), 13:56, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на RT-N10.B1 не сработало
     
  • 1.9, Аноним (-), 15:43, 08/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И меня еще спрашивают, зачем я парюсь с dd-wrt/openwrt.
     
     
  • 2.12, Пиу (ok), 17:29, 08/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    парится? по моему у dd-wrt значительно более дружелюбный интерфейс чем на всех этих дефолтных прошивках
     
     
  • 3.15, Аноним (-), 18:24, 08/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А опенврт вообще крут: может работать с мультизонными сетями, позволяет настроить вланы, как между всем этим трафф гонять и прочая. В реалтайме показывает что и где к вайфаю прицеплено, какая модуляция, сигнал/шум, скорость. Можно графики реалтаймные смотреть, а парой кликов - и RRDTool'ная более долговременная статистика делается. Правда хрен там знает как оно с асусом с их любовью к кривому броадкому, а на всем что на атеросе (например большинство tp-link) оно рулит просто неимоверно.
     
     
  • 4.17, vn971 (ok), 18:29, 08/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    оффтопик, а на каком железе с openvrt приятнее работать? (Извиняюсь за такой получёткий и полухоливарный вопрос, но всё же.)
     
     
  • 5.20, Аноним (-), 20:55, 08/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я специально под OpenWRT взял 3 штуки TP-LINK TL-WR740N по 15$ . Места под дополнительные программы не много и памяти не густо, но за такие деньги не удивительно. А так все работает супер, уже 4 месяца и ни-одной проблемы.
     
  • 5.21, Пиу (ok), 03:17, 09/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    из личного опыта могу посоветовать не жадничать на цпу и флешовое место. их всегда мало и нехватает
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру