Em janeiro 2017 a Federal Trade Commission começou a processar a empresa taiwanesa de produção de roteadores D-Link por causa de vulnerabilidades em seus dispositivos de roteamento Wi-Fi e câmeras da web. Essas vulnerabilidades podem permitir que invasores explorem os dispositivos.
Quase dois meses depois, o pesquisador de segurança Varang Amin descobriu mais falhas no kit de switch corporativo DGS-1510 da D-Link. Felizmente, as falhas já foram corrigidas com uma atualização de firmware. Se o bug, agora identificado como CVE-2017-6206, foi deixado sem correção, O desvio de comando não autenticado pode ter sido criado, o que pode ter levado à divulgação de informações não autenticadas.
relacionado: D-Link Sued pela FTC por questões de segurança
CVE-2017-6206 Descrição Oficial
D-Link DGS-1510-28XMP, DGS-1510-28X, DGS-1510-52X, DGS-1510-52, DGS-1510-28P, DGS-1510-28, e os dispositivos DGS-1510-20 Websmart com firmware anterior a 1.31.B003 permitem que invasores conduzam ataques de divulgação de informações não autenticadas por meio de vetores não especificados.
Essas vulnerabilidades de desvio de autenticação podem ser exploradas por um invasor para executar o controle remoto e comandos locais no switch corporativo D-Link, como explicado pelo pesquisador.
O fornecedor lança o patch como uma versão beta, mas deve ser aplicado o mais rápido possível, pois há uma série de ataques possíveis em sistemas que não foram corrigidos. As explorações potenciais incluem a extração de arquivos de configuração com informações de rede, adicionar uma nova conta de administrador antes de assumir o controle total do switch, disse o pesquisador.
A vulnerabilidade pode ser explorada de qualquer local remoto na internet. O PoC destaca esse fato. Encontramos dezenas desses sistemas disponíveis na internet, mas não temos números exatos, pois não realizamos nenhum teste específico para obter os números.
relacionado: D-Link Segurança Exploit ameaça 120 produtos e 400,000 + Devices
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: