【內(nèi)容聲明】本文收集整理于互聯(lián)網(wǎng),不確保內(nèi)容真實性和質(zhì)量度,僅供參考!若有服務器產(chǎn)品相關(guān)問題,請咨詢[YINGSOO]在線客服,獲取專業(yè)解答!

【相關(guān)產(chǎn)品】香港云主機丨香港服務器

【推薦文章】公司網(wǎng)絡安全注意事項有哪些？

來自CRITICALSTART的研究人員Rich Mirch發(fā)現(xiàn)了十個漏洞MOFI4500 MoFi網(wǎng)絡路由器。專家于5月將問題報告給了供應商，但其中一些缺陷尚未修補。

大多數(shù)缺陷會影響Web管理界面，某些漏洞可由未經(jīng)身份驗證的遠程攻擊者利用，他們可以訪問Web界面來接管目標路由器。

一些問題與硬編碼憑據(jù)的存在或使用弱憑據(jù)有關(guān)?？赡茏钣腥さ穆┒词俏从涗浀暮箝T，跟蹤為CVE-2020-15835，攻擊者可以利用該后門獲得對路由器的根訪問權(quán)限。

“身份驗證功能包含未公開的代碼，該代碼提供了以root用戶身份進行身份驗證的能力，而無需知道實際的root用戶密碼。擁有私鑰的對手可以以root用戶身份向管理界面進行遠程身份驗證?！?閱讀專家發(fā)布的建議?！澳壳安话夹g(shù)細節(jié)，因為供應商尚未發(fā)布補丁，而披露該補丁將為未補丁的CVE-2020-15836未經(jīng)身份驗證的命令注入提供足夠的細節(jié)?！?/p>

研究人員還發(fā)現(xiàn)了另一個未記錄的后門，該后門位于poof.cgi腳本中，攻擊者可以利用私鑰利用該后門來重新啟動設備。具有私鑰的對手可以遠程重新啟動設備，而不必知道root密碼。

供應商已解決了多個關(guān)鍵漏洞，但在某些情況下，建議的修復程序還引入了其他安全問題。

“在MoFi4500路由器中發(fā)現(xiàn)了多個關(guān)鍵漏洞，這是一種基于OpenWRT的無線路由器，可通過LTE提供Internet訪問。最初的漏洞已報告給供應商，并提供了補丁程序，但隨后又引入了新的嚴重漏洞。” 繼續(xù)報告?！耙呀?jīng)發(fā)布了幾個固件版本，但是某些漏洞尚未完全修補?！?/p>

自從報告漏洞以來，該供應商已經(jīng)發(fā)布了大約10個固件更新。

6月25日，Mirch找到了14,382個MoFi路由器，這些路由器正在使用Shodan搜索引擎在線公開其管理界面。

在撰寫本文時，暴露設備的數(shù)量下降到大約6,610。

本文關(guān)鍵詞：專家在MoFi路由器中發(fā)現(xiàn)了多個關(guān)鍵問題,遠程入侵設備的漏洞,MoFi路由器,網(wǎng)絡漏洞 http://maisonbaluchon.cn/news/posts/3214.html

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。