五岁的路由器错误泄漏Mac地址和其他唯一标识符
超过25,000个Linksys智能WiFi路由器容易受到一个信息披露使未经授权的第三方轻松访问所有连接设备的MAC地址的缺陷以及许多其他细节。
该漏洞是由美国网络威胁情报公司Bad Packet Report披露的,该报告发现超过30个Linksys路由器型号在互联网上泄漏了设备信息。
不良数据包概念证明简而言之:要利用漏洞,用户只需要在Web浏览器中输入路由器的公共IP地址,打开开发人员控制台,查找网络选项卡,然后向下滚动到JNAP软件包。beplay体育能用吗
细节的宝库(包括连接到路由器的每个设备的MAC地址,设备名称和操作系统)都是按照明文提供的:
在某些情况下,还记录了其他元数据,包括设备类型,制造商,型号,描述,不良数据包说。
该报告的作者Troy Mursch解释说:“这种敏感的信息披露漏洞不需要身份验证,并且可以由远程攻击者利用很少的技术知识来利用。”
根据研究人员的说法,有关路由器的其他敏感信息,例如WAN设置,防火墙状态,固件更新设置和DDNS设置,也将公开泄漏。
更重要的是,Bad Pack包表示,对于任何未经身份验证的攻击者来说,快速枚举哪些Linksys路由器没有更改其默认密码是微不足道的。
获得对这些路由器中任何一个的管理访问权限,将允许恶意用户以明文获取SSID和WiFi密码,将DNS设置更改为劫持Web流量,并进行各种邪恶的网络活动。beplay体育能用吗
根据穆尔奇(Mursch)的说法,有关的脆弱性是标记(据说是修补)五年前。
他说:“我们的发现是另有说明的。
他补充说:“在任何情况下,公开泄露了连接到Linksys Smart WiFi路由器的每种设备的历史记录,都是一个不应轻视的隐私问题。”
“此信息使攻击者能够在您的家庭或业务网络内获得可见性,从而使他们能够进行有针对性的攻击。”
Linksys没有立即回应每日swbeplay2018官网ig提出评论的要求。当我们从供应商那里回来时,本文将在更新时进行更新。
