Роутеры Asus RT уязвимы перед CSRF- и XSS-атаками

Александр Панасенко 11 Мая 2017 - 23:36

...

Роутеры Asus RT уязвимы перед CSRF- и XSS-атаками

Еще в январе 2017 года исследователи компании Nightwatch Cybersecurity обнаружили ряд уязвимостей более чем в сорока моделях роутеров Asus RT. Так как исследователи незамедлительно уведомили разработчиков Asus о проблемах, в марте 2017 года компания выпустила обновленную версию прошивки.

Ниже можно увидеть список уязвимых устройств (специалисты подчеркивают, что он неполон). Всем владельцам роутеров данных моделей рекомендуется проверить версию прошивки и убедиться, что она не ниже v3.0.0.4.380.7378.

RT-AC51U
RT-AC52U B1
RT-AC53
RT-AC53U
RT-AC55U
RT-AC56R
RT-AC56S
RT-AC56U
RT-AC66U
RT-AC68U
RT-AC68UF
RT-AC66R
RT-AC66U
RT-AC66W
RT-AC68W
RT-AC68P
RT-AC68R
RT-AC68U
RT-AC87R
RT-AC87U
RT-AC88U
RT-AC1200
RT-AC1750
RT-AC1900P
RT-AC3100
RT-AC3200
RT-AC5300
RT-N11P
RT-N12 (только версия D1)
RT-N12+
RT-N12E
RT-N16
RT-N18U
RT-N56U
RT-N66R
RT-N66U (только версия B1)
RT-N66W
RT-N300
RT-N600
RT-4G-AC55U (патча пока нет)

В блоге Nightwatch Cybersecurity можно найти подробное описание всех обнаруженных проблем, а также proof-of-concept эксплоиты для них. Ниже мы приводим краткое описание уязвимостей.

CSRF на странице логина (CVE-2017-5891): страница входа в админку роутера не защищена от CSRF-атак, а значит, атакующий может заманить пользователя на вредоносный сайт и оттуда осуществить запрос к странице логина. Этот баг можно использовать для входа в панель администратора, если устройство использует учетные данные по умолчанию (admin/admin), или в том случае, если злоумышленник знает логин и пароль жертвы, пишет xakep.ru.

Сохранение настроек CSRF (CVE-2017-5891): используя описанную выше проблему, атакующий может изменить сетевые настройки или настройки безопасности роутера, а также учетные данные.

JSONP раскрывает информацию, аутентификация не требуется: JSONP отвечает на запросы извне, сообщая злоумышленнику такую информацию, как модель роутера, SSID, IP-адреса и так далее.

JSONP раскрывает информацию, требуется аутентификация (CVE-2017-5892): как и в вышеописанном случае, JSONP раскрывает данные об устройстве, в том числе более подробную информацию о сети, настройки access point, внешний IP-адрес, данные WebDAV и так далее.

XML-эндпоинт позволяет узнать пароль от Wi-Fi: для реализации атаки нужно, чтобы злоумышленник находился в той же сети и знал пароль администратора, после чего можно обратиться к XML и узнать пароль от Wi-Fi.

Однако это не все уязвимости, которые разработчики Asus устранили в новой версии прошивки. Еще несколько проблем в роутерах серии RT обнаружил независимый исследователь Бруно Бирбаумер (Bruno Bierbaumer). Среди его «находок» были XSS на странице логина (CVE-2017-6547), баг, позволяющий похищать сессии (CVE-2017-6549), а также опасная RCE-уязвимость (CVE-2017-6548).

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 13:44

Соответствие законодательству РФ Корпорации Государство

ЭПД с 1 сентября: Минтранс говорит, что всё готово, бизнесу пора шевелиться

До обязательного перехода на электронные перевозочные документы (ЭПД) остаётся чуть больше двух месяцев, и государство уверяет: технически всё готово. А вот бизнесу ещё предстоит серьёзно перестроить свои процессы. Этот вопрос стал одной из главных тем форума «ЭДО. ЭПД», который прошёл в конце мая в Подмосковье.

Представители Минтранса, ФНС, операторов электронного документооборота и транспортных компаний обсудили, насколько рынок готов к цифровой революции, намеченной на 1 сентября 2026 года.

По данным Минтранса, государственная система ГИС ЭПД работает с 2022 года и уже обработала более 38 миллионов документов. Инфраструктура рассчитана на дальнейший рост нагрузки, а уровень её доступности заявлен на уровне 99,5%.

Один из главных страхов перевозчиков — потеря связи в дороге. Власти утверждают, что этот сценарий предусмотрен. Если интернет пропал, перевозчик сможет подтвердить это справкой от оператора связи и подписать документы позже. Кроме того, сейчас прорабатываются механизмы офлайн-подписания документов.

Но если с технологиями всё выглядит относительно неплохо, то с бизнес-процессами ситуация сложнее.

Участники рынка признают, что многие компании ещё не готовы к полноценному электронному документообороту. Нужно перестраивать внутренние регламенты, обучать сотрудников и подключать контрагентов.

Отдельной головной болью остаётся отказ грузополучателей подписывать электронные документы. Пока юридической ответственности за это фактически нет, поэтому бизнесу приходится решать проблему через условия договоров.

Представители операторов ЭДО считают, что откладывать внедрение уже поздно. По их мнению, успех реформы будет зависеть не только от государства и технологий, но и от того, насколько быстро участники рынка смогут договориться между собой и отказаться от привычных бумажных схем.

На фоне подготовки к запуску ЭПД Минтранс также развивает платформу «ГосЛог», систему СПОТ для контроля поставок из стран ЕАЭС и отраслевой центр компетенций по кибербезопасности.

Государство считает, что цифровая инфраструктура уже почти готова. Теперь очередь за бизнесом, которому предстоит научиться жить без бумажек.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!