Форум | Объявления | Новинки | Журнал | iMag | Электронная газета | Подписка | Архив | Медиакиты | Мероприятия

Журналы в формате iMag

Форум

Публикации

Архив


Новости проекта

Системная интеграция

Отраслевые

Новости CCTV

Новости СКУД

Новости ОПС

Новости ПБ

Электронная газета "Системы безопасности"


Журнал "Системы безопасности"

Каталог "Системы безопасности"

Каталог "Пожарная безопасность"

Рекламодателям


Video & Vision

СКУД. Антитерроризм


Подписка

Платная подписка

Исторический календарь

Контакты

Ссылки

Мероприятия

English

Портативные маршрутизаторы входят в число наиболее уязвимых IoT-устройств

Реклама на сайте

Портативные маршрутизаторы входят в число наиболее уязвимых IoT-устройств


11.04.2017

Портативные маршрутизаторы входят в число наиболее уязвимых IoT-устройств

В рамках выступления на конференции Kaspersky Lab Security Analyst Summit специалист немецкой компании Securai Ян Херш (Jan Hoersch) продемонстрировал, насколько уязвимыми являются некоторые популярные устройства из категории "Интернета вещей" (Internet of Things, IoT).

 Эксперт описал проблемы, которым подвержен ряд IoT-устройств, таких как портативные маршрутизаторы. В частности беспроводной мобильный маршрутизатор TP-LINK M5250 содержит уязвимость, позволяющую получить пароль к административной учетной записи устройства и пароль от Wi-Fi сети при помощи простого SMS-сообщения.

 Исследователь также обратил внимание на маршрутизатор производства StarTech, прошивка которого содержит неизменяемый пароль администратора. В результате злоумышленник может получить к устройству доступ по сети или через LAN порт, внедрить вредоносное ПО и распространить его по сети.

 Проблемы были обнаружены и в маршрутизаторах Hootoo TripMate и TrendNet TEW714TRU. В случае Hootoo TripMate уязвимость связана с тем, что обновление прошивки осуществляется через bash файлы. Как пояснил исследователь, просто изменив ряд настроек, можно внедрить bash-скрипт, повысить права на системе и инициировать обновление прошивки. С такой же легкостью неавторизованный злоумышленник может внедрить команды на устройстве TrendNet TEW714TRU через LAN порт и проэксплуатировать уязвимость, позволяющую удаленно выполнить код.

 "Эта [уязвимость] довольно серьезна, так как демонстрирует недоработки в архитектуре устройства - по идее, вы не должны так просто выполнять команды. [TrendNet] выпустила патч, но уязвимость еще существует, хотя для ее эксплуатации требуется авторизация... Это уже начало", - отметил Херш.

 В заключение эксперт призвал компании открывать программы вознаграждения за поиск уязвимостей, хотя бы для того, чтобы специалисты в области безопасности могли связаться с разработчиками.

 "Позвольте исследователям помочь разработчикам. Чрезвычайно важно, чтобы компании поддерживали программы вознаграждения за поиск уязвимостей. Даже если вы не будете выдавать награды, просто предоставьте им [исследователям] возможность раскрыть информацию об уязвимостях, не отправляя по пять электронных писем. Это отнимает слишком много времени - для некоторых независимых исследователей это невозможно. Большинству из нас приходится обнародовать сведения об уязвимостях, потому что связываться с вендорами слишком хлопотно, а так не должно быть", - подчеркнул Херш.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

РАССЫЛКА

Подписка на новости сайта
Введите ваш e-mail


Реклама на сайте

Анонс



Свежий номер журнала "Системы безопасности"

Вызов консультанта

СТАТЬИ


• Четверть века в истории: серебряный юбилей ГК Траскон
• Решение для автоматизации предрейсовых осмотров водителей автотранспортных компаний
• Трансформация розницы: в поисках правильной цифровой стратегии
• Сегмент, которого нет? Поворотные мини-купольные камеры
• Человеческий фактор в системе контроля и управления доступом
• Противопожарные двери как элемент пожарной системы здания


Видеонаблюдение (CCTV)
Видеорегистрация (DVR)
IP-security
Охранно-пожарная сигнализация
Директор по безопасности
Системы ограничения и контроля доступа
Комплексные системы безопасности
В центре внимания. Тесты
Пожарная безопасность





Рейтинг@Mail.ru
Рейтинг@Mail.ru
Rambler's Top100
Яндекс цитирования


Реклама на сайте | Правила перепечатки материалов | Контакты

Copyright © 2007-2014, ООО "Гротек"