CYBER NEWS

Verizon FiOS Quantum Gateway Kwetsbaar (CVE-2019-3914)

Verizon FiOS Quantum Gateway bevat drie zeer ernstige kwetsbaarheden (CVE-2019-3914, CVE-2019-3915, CVE-2019-3916).




die kan commando injectie mogelijk te maken. Wanneer uitgebuit in een keer, de gebreken kan een aanvaller volledige controle te geven over een netwerk. Merk op dat het apparaat wordt gebruikt door miljoenen Verizon thuisgebruikers, omdat het werkt als een draadloze router en digitale gateway.

De kwetsbaarheden waren ontdekt door onderzoekers bij Tenable, die zei dat de gebreken worden geassocieerd met het beheerderswachtwoord van het apparaat:

Er is een sticker op de zijkant van de routers. Elke klant krijgt een andere naam voor het draadloze netwerk, Draadloos wachtwoord, en beheerderswachtwoord. Deze kwetsbaarheden zijn geconcentreerd rond het beheerderswachtwoord, niet het wachtwoord dat u gebruikt om verbinding te maken met Wi-Fi. Het beheerderswachtwoord is er voor de klant van Verizon in te loggen op de router om diverse taken die het netwerk definiëren voeren.

Meer over CVE-2019-3914

Volgens adviserende Tenable's, Deze fout kan worden veroorzaakt door het toevoegen van een firewall access control regel voor een netwerk object met een bewerkte hostname. De voorwaarde is dat de aanvaller moet worden geverifieerd om de administratieve webapplicatie van het apparaat in staat zijn om het commando injectie uit te voeren. Meestal, de zwakke plek kan alleen worden misbruikt door aanvallers met lokale toegang tot het netwerk. Niettemin, een internetgebaseerde aanval is nog mogelijk als extern beheer is ingeschakeld, en het goede nieuws is dat het is standaard uitgeschakeld.

Verwant: Verizon's Gegevens Breach Investigations zijn uw grootste veiligheidsrisico Nightmare.

Meer over CVE-2019-3915

Omdat HTTPS niet wordt afgedwongen in het web administratie-interface, een aanvaller op het lokale netwerk segment kan login aanvragen onderscheppen met de hulp van een packet sniffer. Deze verzoeken kunnen worden afgespeeld op de aanvaller admin toegang tot de webinterface te geven. Vanaf hier, de aanvaller kan dit beveiligingslek misbruiken, houdbaar zei.

Meer over CVE-2019-3915

Een niet-geverifieerde aanvaller is in staat om de waarde van het wachtwoord zout op te halen door simpelweg een bezoek aan een URL in een webbrowser. Gezien het feit dat de firmware het gebruik van HTTPS niet afdwingen, Een aanvaller kan een login verzoek dat een gezouten wachtwoord hash bevat snuiven (SHA-512). Dit zou de aanvaller in staat te stellen een offline dictionary attack om de oorspronkelijke wachtwoord te achterhalen.

Wat moet de getroffen gebruikers doen? Zij moeten ervoor zorgen dat hun apparaat is bijgewerkt naar versie 02.02.00.13. Als het niet is, gebruikers moeten contact opnemen met Verizon voor verdere ondersteuning. Het wordt aanbevolen dat de gebruikers te houden beheer op afstand uitgeschakeld, houdbaar zei.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...