D-Link路由器存在远程命令注入漏洞

近日安全研究员在D-Link(友讯)路由器上发现了一个严重的安全漏洞,漏洞详情如下:

首先是D-Link DIR636L型号的路由器对“ping”工具上的输入信息过滤不当导致攻击者可以在路由器上注入任意命令;其次是认证机制在执行过程中也出现了错误,所以攻击者可以远程获得设备的root权限。既然攻击者可以修改路由器上的防火墙或者NAT规则,那么他就可对其他网络发动DDoS攻击或者直接把连接路由器的计算机暴露于公网。

基于ping.ccp漏洞的属性,用户只要访问嵌入恶意HTTP form的网页,攻击者就可获得设备的root访问权限,劫持DNS设置或者在受害者设备上执行任意命令。

早在去年11月份,瑞士电信公司的Tiago Caetano Henriques就已经发现了该漏洞,并在持续的关注中。而在今年的1月份,另一位安全研究者Peter Adkins也发现了这一漏洞,并报告给了友讯公司,但是友讯没有给出回应。

 

【关闭页面】