新的固件分析框架在NetGear和D-Link设备中找到了严重的缺陷
为什么Facebook希望在你身上“反应”
Aviva与Silicon Valley Accelerator的合作伙伴启动创新
散装监督审查是“小说”,索赔前NSA技术总监
准备在3周内修补Windows和Samba文件共享中的临界缺陷
银行数据中心灭火系统测试挖掘银行服务离线
希捷揭示了世界上最快的SSD
移动互联网将增长GDP并在东盟国家创造就业机会
零售银行命令开放API
Eric Sc​​hmidt到新的五角大楼创新咨询委员会
工程公司使用人力资源技术削减员工留下的率
Microsoft Hails云安全突破加密数据
Apple-Samsung专利争端的第三陪审团审判无限期地推迟
这是5G的时刻 - 四年早期
NHS England提供顶级数字信托100万英镑奖励基金
ICANN STEWARDSHIP计划发送给美国政府
富士通宣布英国的削减大幅作用
最高法院否认在电子书价格修理案件中的Apple上诉
DWP数码专家带来了帮助评估政府数字服务的计划
律师事务所规划GDPR规划诉讼市场
HMRC升起了数字税计划
移动设备成为购物者信息的第一港
受害者的亲属,执法团体支持IPhone解锁案件中的联邦调查局
Lloyds Bank推出了改进和保护客户服务的技术
NHS信任和供应商还没有准备好N3网络结束
64位覆盆子PI 3速度快50%,带有Wi-Fi和蓝牙 - 但仍然只需35美元
临床医生围绕分享患者数据构建公共信任的关键
对隐私盾牌欧盟数据传输计划的响应缓慢
DreamForce 2016:Salesforce Stakes在人工智能中享用烘焙
GDS寻找理事会飞行员Gov.uk核实
纽卡斯尔和盖茨头将公共Wi-Fi网络带到街道上
谷歌失败了?这个新的零日零天的Android奢华是两岁!
Insight Mars Probe Mission重新开始
微软的边缘逆转趋势,在Windows 10用户之间获得份额
务司呼吁国家宽带升级
19当地议会注册GOV.uk验证试验
英特尔强大的头骨峡谷NUC Mini-Desktop旨在游戏
yandex烧焦ai进入智能手机,开始ottackack
网络街灯正在照亮智慧城市的方式
GDS接管DWP数字学院并获得“国家存在”
沃尔沃加入了Uber的强制自动车辆飞行员
尽管诺基亚和微软裁员,芬兰的IT部门有生命
Gogo在飞行慢速Wi-Fi上诉讼后买更多的卫星容量
律师事务所合并Ditches磁带,用于veeam / exagrid基于磁盘的备份
福特承诺在2021年之前批量生产自主车
在办公室,多样性作品,但更短的工作周可能不会
IBM DeepFlash 150最新in All-Flash针对文件,对象和分析用例
惠普在新打印机中使用专有墨水
这个视频显示谷歌自行车车撞车
HyperGrid将计量用法和网络添加到超融合的套件
您的位置:首页 >产品 > 商业评论 >

新的固件分析框架在NetGear和D-Link设备中找到了严重的缺陷

2021-06-24 09:44:12 [来源]:

安全研究人员团队在十几个无线路由器中发现了严重的漏洞,以及来自Netgear和D-Link的接入点以及可用于在嵌入式固件上执行动态安全性分析的开源框架的帮助。

该框架称为Firmadyne,自动运行基于Linux的固件,为仿真环境中的嵌入式设备设计,然后执行各种安全测试,包括检查渗透测试工具中存在的已知漏洞。

该框架是由Carnegie Mellon University的Mathing Chen,Maverick Woo和David Brumley建造的,来自波士顿大学的Manuel Egele。它上周发布作为开源项目以及随附的研究论文。

研究人员使用了从42个嵌入式设备制造商收集的大约23,000个固件图像的集合上的Firmadyne。该框架能够提取这些图像的9,486个,发现它们中的887人容易受到74个已知漏洞中的至少一个。此外,研究人员能够在12个产品使用的69件固件图像中找到14个以前未知的漏洞。

其中一些漏洞是在Netgear和D-Link的产品中找到的,并在周三的完整披露邮件列表中被记录在单独的消息中。

研究人员发现,六个NETGEAR设备的Web管理界面包含了几页,可以在不验证的情况下访问,并且可以允许攻击者将输入直接传递给命令行。

此命令注入漏洞被跟踪为CVE-2016-1555,可能导致易受攻击的设备被接管,特别是如果它们是通过互联网管理的康明布。受影响的设备是NETGEAR WN604,WN802TV2,WNAP210,WNAP320,WNDAP350和WNDAP360。

NETGEAR WN604,WNAP210,WNAP320,WND930,WNDAP350和WNDAP360还包括可以在无需认证的情况下访问的网页,并且为Wi-Fi保护设置(WPS)模式暴露引脚。

七个D-Link设备中使用的Web服务器具有缓冲区溢出漏洞,可以在处理DLink_UID cookie时触发。这种缺陷通常可以导致远程执行。该易受攻击的设备是D-Link DAP-2310,DAP-2330,DAP-2360,DAP-2553,DAP-2660,DAP-2690和DAP-2695。

来自D-Link的三个设备和Netgear的三种设备通过简单的网络管理协议(SNMP)公开无线密码和管理凭据。受影响的设备是D-Link DAP-1353,DAP-2553和DAP-3520和NETGEAR WNAP320,WNDAP350和WNDAP360。

研究人员声称他们向两个供应商报告了缺陷,但没有听到D-Link。

“Netgear将以2月底将WN604修复WN604,但剩余设备的暂定ETA是3月中旬,”陈在他发送到完整披露邮件列表的电子邮件中表示。

这不是第一个质量固件分析。去年,来自法国的Eurecom研究中心的研究人员和德国的Ruhr-University Boochum创造了类似的测试系统,并在46个固件图像中找到了225个高影响力漏洞,用于路由器,DSL调制解调器,VoIP电话,IP摄像机和其他设备。

这样的努力突出了嵌入式设备世界中的安全状况不佳,近年来袭击者越来越多地剥削的东西。

上周的华硕解决了一个FTC投诉,即它未能采取合理的步骤来保护其路由器“固件。本公司同意建立并维护未来20年的独立审核的全面安全计划。希望,案件将作为整个行业的叫醒呼叫。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。