Dziura w bezprzewodowych ruterach
Jeden z hakerów poinformował w serwisie
milw0rm o odkryciu krytycznego błędu w opensource'owym firmware dla bezprzewodowych ruterów. Błędy występują w ponad 200 modelach urządzeń różnych producentów.
Luka jest obecna w najnowszej wersji oprogramowania DD-WRT, które rozszerza domyślne funkcje rutera. Umożliwia ona atakującemu uzyskanie dostępu do urządzenia na prawach administratora, bez konieczności przechodzenia procesu uwierzytelniania. Wystarczy nakłonić kogoś z sieci lokalnej do odwiedzenia odpowiednio spreparowanej witryny.
Błąd występuje w protokole httpd, który domyślnie działa w DD-WRT na prawach roota. Protokół ten jest podatny na atak typu CSRF, atakujący może więc zdalnie wprowadzać dowolne komendy.
Twórcy DD-WRT właśnie opublikowali
listę poprawek.
Mariusz Błoński