நெட்ஜியர் சாதனங்களில் ஒரு பாதிப்பு அடையாளம் காணப்பட்டுள்ளது, இது WAN இடைமுகத்தின் பக்கத்தில் உள்ள வெளிப்புற நெட்வொர்க்கில் உள்ள கையாளுதல்கள் மூலம் அங்கீகாரம் இல்லாமல் ரூட் உரிமைகளுடன் உங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது. R6900P, R7000P, R7960P மற்றும் R8000P வயர்லெஸ் ரவுட்டர்கள் மற்றும் MR60 மற்றும் MS60 மெஷ் நெட்வொர்க் சாதனங்களில் பாதிப்பு உறுதி செய்யப்பட்டுள்ளது. நெட்கியர் ஏற்கனவே ஒரு ஃபார்ம்வேர் புதுப்பிப்பை வெளியிட்டுள்ளது, அது பாதிப்பை சரிசெய்கிறது.
வெளிப்புற இணையச் சேவைக்கு (https://devicelocation) கோரிக்கையை அனுப்பிய பிறகு பெறப்பட்ட JSON வடிவத்தில் தரவைப் பாகுபடுத்தும் போது, பின்னணி செயல்பாட்டில் aws_json (/tmp/media/nand/router-analytics/aws_json) ஸ்டாக் ஓவர்ஃப்ளோவால் பாதிப்பு ஏற்படுகிறது. ngxcld.com/device -location/resolve) சாதனத்தின் இருப்பிடத்தைத் தீர்மானிக்கப் பயன்படுகிறது. தாக்குதலை மேற்கொள்ள, நீங்கள் உங்கள் இணைய சேவையகத்தில் JSON வடிவத்தில் சிறப்பாக வடிவமைக்கப்பட்ட கோப்பை வைக்க வேண்டும் மற்றும் இந்த கோப்பை ஏற்றுமாறு திசைவியை கட்டாயப்படுத்த வேண்டும், எடுத்துக்காட்டாக, DNS ஏமாற்றுதல் அல்லது ஒரு கோரிக்கையை டிரான்ஸிட் நோடில் திருப்பிவிடுதல் (நீங்கள் இடைமறிக்க வேண்டும் சாதனம் தொடங்கும் போது ஹோஸ்ட் devicelocation.ngxcld.com க்கு கோரிக்கை விடுக்கப்பட்டது ). கோரிக்கை HTTPS நெறிமுறை மூலம் அனுப்பப்படுகிறது, ஆனால் சான்றிதழின் செல்லுபடியை சரிபார்க்காமல் (பதிவிறக்கும்போது, "-k" விருப்பத்துடன் கர்ல் பயன்பாட்டைப் பயன்படுத்தவும்).
நடைமுறைப் பக்கத்தில், பாதிப்பை ஒரு சாதனத்தை சமரசம் செய்யப் பயன்படுத்தலாம், எடுத்துக்காட்டாக, ஒரு நிறுவனத்தின் உள் நெட்வொர்க்கில் அடுத்தடுத்த கட்டுப்பாட்டிற்கு பின்கதவை நிறுவுவதன் மூலம். தாக்குவதற்கு, நெட்ஜியர் ரூட்டருக்கான குறுகிய கால அணுகலைப் பெறுவது அல்லது WAN இடைமுகப் பக்கத்தில் உள்ள பிணைய கேபிள்/உபகரணங்களை அணுகுவது அவசியம் (உதாரணமாக, தாக்குதலை ISP அல்லது அணுகலைப் பெற்ற தாக்குபவர் மேற்கொள்ளலாம். தொடர்பு கவசம்). ஒரு ஆர்ப்பாட்டமாக, ஆராய்ச்சியாளர்கள் ராஸ்பெர்ரி பை போர்டை அடிப்படையாகக் கொண்ட ஒரு முன்மாதிரி தாக்குதல் சாதனத்தைத் தயாரித்துள்ளனர், இது ஒரு பாதிக்கப்படக்கூடிய திசைவியின் WAN இடைமுகத்தை போர்டின் ஈதர்நெட் போர்ட்டுடன் இணைக்கும்போது ரூட் ஷெல்லைப் பெற அனுமதிக்கிறது.
ஆதாரம்: opennet.ru