ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall

Filet-O-Firewall

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall. Брешь, существующая из-за недостаточной защищенности механизмов аутентификации, может привести к тому, что миллионы домашних сетей окажутся беззащитными перед кибератаками.

Уязвимость существует из-за того, что большинство домашних маршрутизаторов (в настоящее время бреши подвержены сетевые устройства как минимум от 15 различных производителей) с реализацией протокола UPnP недостаточно рандомизируют UUID в контрольных URL UPnP. Злоумышленник может подобрать корректное значение UUID и внести произвольные изменения в конфигурацию роутера – например, открыть определенные порты или включить некоторые службы. Вероятность правильного подбора довольно высока, поскольку большинство производителей используют стандартизованные имена контрольных URL UPnP.

Проэксплуатировать данную уязвимость можно, если потенциальная жертва использует браузеры Chrome или Firefox с включенным JavaScript. Злоумышленнику требуется заставить пользователя открыть специально сформированный web-сайт, на котором размещен код эксплоита. В случае успеха браузер начнет отсылать UPnP-запросы к межсетевому экрану, позволяя осуществить атаку.

Официального исправления уязвимости в настоящее время не существует. CERT/CC рекомендует отключить рандомизацию UUID и URL UPnP в качестве меры по предотвращению атак.


Security Lab (03.09.2015 в 09:37) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"