Новая защита Wi-Fi-роутеров D-Link оказалась брешью в безопасности

Не успела компания D-Link анонсировать обновленное микропрограммное обеспечение для беспроводных роутеров с функцией защиты от автоматических регистраций (CAPTCHA), как сразу несколько энтузиастов обнаружили, что новая мера защиты делает владельца такого роутера еще более уязвимым для похищения паролей доступа.

В новой прошивке для своих беспроводных роутеров компания D-Link реализовала CAPTCHA-тест, однако из-за ошибки разработчиков страница веб-интерфейса с этим тестом стала самым уязвимым местом в системе безопасности.

Участниками блога SourceSec Security Research было обнаружено, что страница регистрации на роутере использует GET-запрос протокола HTTP, причем, вместе с содержимым проверочного поля ввода этот запрос передает внутри себя MD5-хэш для защищенного пароля. Имея в своем распоряжении такой хэш для заданного по умолчанию пароля (если владелец не сменил его), любой атакующий может быстро получить доступ к панели управления роутера и сменить пароль администратора, а также похитить пароль WPA (Wi-Fi Protected Access) для защищенного доступа к беспроводной сети. Хэширование паролей в этих роутерах проводится с использованием «соли» («salt» - набор символов, который добавляется к паролю или хэшу паролю перед повторным хэшированием), однако если сам хэш попадет в руки злоумышленника – для взлома даже не нужно будет знать пароль.

Кроме того, из-за уязвимости в CAPTCHA-тесте даже обычные пользователи могут получить доступ к панели администрирования, не имея на то соответствующих полномочий. По умолчанию в роутере есть пользователь с пустым паролем – прав этого пользователя вполне достаточно для атаки. Другое дело, что если владелец роутера не поленится сменить стандартный заводской пароль пользователя на более защищенную фразу, сеть станет гораздо более защищенной, если только преступники не похитят хэш нового пароля.

источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Комплекс Периметр для защиты от DDoS-атак получил сертификат ФСТЭК

Разрабатываемый компанией «Гарда Технологии» (входит в «ИКС Холдинг») комплекс защиты от DDoS-атак «Периметр» получил сертификат ФСТЭК России. Средство защиты «Периметр», сертифицированное по уровню 4 РД НДВ, помогает госорганизациям и корпоративным заказчикам выполнять требования отдельных нормативно-правовых актов.

Среди вышеупомянутых актов можно выделить следующие:

  • совместный приказ ФСТЭК России и ФСБ России №489/416 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» за счёт использования сертифицированного средства фильтрации и блокирования сетевого трафика;
  • приказы ФСТЭК № 17 от 11.02.2013 и №21 от 18.02.2013, регламентирующих защиту государственных информационных систем и безопасность персональных данных;
  • Федеральный закон №187-ФЗ «О безопасности критической информационной структуры Российской Федерации» и подзаконных актов: приказа ФСТЭК №239 от 25.12.2017, в части предотвращения вторжений (компьютерных атак) и обеспечения доступности значимых объектов, приказа ФСБ № 196 от 06.05.2019, в части выявления и реагирования на компьютерные инциденты, работы с артефактами атаки и отсутствием недекларированных возможностей в используемом программном обеспечении;
  • приказ ФСТЭК №31 от 14.03.2014 в части обеспечения мер по защите АСУТП на критически важных объектах.

Как отмечают специалисты «Гарда Технологии», сертифицированное решение потребуется компаниям финансового сектора для соблюдения мер, определённых в Национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», а также для обеспечения доступности информационных ресурсов платежных систем по требованиям Федерального закона №161-ФЗ от 27.06.2011 «О национальной платёжной системе» и Постановления правительства РФ № 584 от 13.06.2012 «Положение о защите информации в платежной системе».

Кроме того, возможности «Периметра» соответствуют методическим рекомендациям по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru