WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗi nghiêm trọng trên Module Wifi của các ứng dụng công nghiệp
Hơn 20 lỗ hổng vừa bị phát hiện trong mô-đun Wi-Fi Lantronix, được thiết kế cho các ứng dụng công nghiệp và thương mại quan trọng.
Sản phẩm bị ảnh hưởng là mô-đun Wi-Fi PremierWave 2050 dành cho doanh nghiệp, cung cấp kết nối Wi-Fi 5G, được thiết kế cho các hoạt động quan trọng. Theo trang web của nhà cung cấp, sản phẩm cung cấp tính năng bảo mật cho doanh nghiệp. Tuy nhiên, các nhà nghiên cứu của Cisco Talos đã phát hiện ra rằng sản phẩm bị ảnh hưởng bởi tổng cộng 21 lỗ hổng, phần lớn trong số đó đã được xếp ở mức nghiêm trọng. Talos cũng đã đưa ra 18 khuyến cáo riêng cho các lỗi này.
Các nhà nghiên cứu đã tái tạo các lỗ hổng trên Lantronix PremierWave 2050 phiên bản 8.9.0.0R4 và Talos tuyên bố không có bản vá chính thức cho các lỗ hổng này, mặc dù nhà cung cấp đã biết về chúng từ ngày 15 tháng 6.
Lantronix là một công ty có trụ sở tại California cung cấp các dịch vụ kết nối và kỹ thuật cho IoT và Quản lý môi trường từ xa (REM).
Các lỗ hổng được các nhà nghiên cứu Talos phát hiện bao gồm chèn lệnh hệ điều hành, thực thi mã từ xa, tiết lộ thông tin, ghi đè tệp và đưa vào tệp cục bộ.
Mặc dù việc khai thác tất cả các lỗi này đều yêu cầu xác thực, tuy nhiên chương trình cơ sở PremierWave 2050 bao gồm các thông tin xác thực mặc định có thể tìm thấy trực tuyến và tùy thuộc vào nhà sản xuất thiết bị bên thứ ba hoặc người dùng cuối để thay đổi các thông tin xác thực mặc định đó.
Sản phẩm bị ảnh hưởng là mô-đun Wi-Fi PremierWave 2050 dành cho doanh nghiệp, cung cấp kết nối Wi-Fi 5G, được thiết kế cho các hoạt động quan trọng. Theo trang web của nhà cung cấp, sản phẩm cung cấp tính năng bảo mật cho doanh nghiệp. Tuy nhiên, các nhà nghiên cứu của Cisco Talos đã phát hiện ra rằng sản phẩm bị ảnh hưởng bởi tổng cộng 21 lỗ hổng, phần lớn trong số đó đã được xếp ở mức nghiêm trọng. Talos cũng đã đưa ra 18 khuyến cáo riêng cho các lỗi này.
Lantronix là một công ty có trụ sở tại California cung cấp các dịch vụ kết nối và kỹ thuật cho IoT và Quản lý môi trường từ xa (REM).
Các lỗ hổng được các nhà nghiên cứu Talos phát hiện bao gồm chèn lệnh hệ điều hành, thực thi mã từ xa, tiết lộ thông tin, ghi đè tệp và đưa vào tệp cục bộ.
Mặc dù việc khai thác tất cả các lỗi này đều yêu cầu xác thực, tuy nhiên chương trình cơ sở PremierWave 2050 bao gồm các thông tin xác thực mặc định có thể tìm thấy trực tuyến và tùy thuộc vào nhà sản xuất thiết bị bên thứ ba hoặc người dùng cuối để thay đổi các thông tin xác thực mặc định đó.
Nguồn: Security Week