存在至少10年!主動利用的漏洞繞過數百萬路由器上的身份驗證
攻擊者積極利用一個關鍵的認證繞過漏洞,影響帶有Arcadyan韌體的家庭路由器來接管它們,並部署Mirai殭屍網路惡意負載。
被跟蹤為cve - 2022 -20090的漏洞是一個關鍵路徑遍歷漏洞(級別9.9/10),存在於帶有Arcadyan韌體的路由器的web介面上,可能允許未經身份驗證的遠端攻擊者繞過身份驗證。
自今年2月以來,瞻博威脅實驗室(Juniper Threat Labs)的研究人員在監控一個以網路和物聯網裝置為目標的威脅行動者的活動時發現了這些持續的攻擊。
數以百萬計的路由器可能面臨攻擊
易受攻擊的裝置包括來自多個供應商和ISP的數十種路由器型號,包括包括華碩、英國電信、德國電信、Orange、O2 (Telefonica)、Verizon、沃達豐、澳大利亞電信和Telus。
根據路由器型號的數量和受此漏洞影響的眾多供應商,暴露在攻擊中的裝置總數可能達到數百萬臺路由器。
該安全漏洞是由Tenable發現的,該公司於4月26日釋出安全公告,並於8月3日星期二新增了概念驗證程式碼。
Arcadyan韌體中的這個漏洞已經存在至少10年,因此已透過供應鏈進入了17個不同供應商的至少20個模型中。
下面列出了所有已知的受影響裝置和供應商(包括易受攻擊的韌體版本)。
鑑於目前大多數人可能沒有意識到安全風險,並且不會很快升級他們的裝置,企業極其容易受到攻擊且成功率非常高,建議相關企業儘管做好補丁升級或安全防禦措施。
資料顯示,超過六成的安全漏洞與程式碼有關,在軟體開發階段利用靜態程式碼安全檢測可以幫助使用者減少30-70%的安全漏洞,大大提高軟體的安全性。在軟體開發過程中,如果將問題發現和修復程式碼移至編碼階段可以為企業節省20%成本,而在產品釋出後,修改缺陷成本則將增加五倍。這也是很多企業正在意識到的一點,因此更加願意選擇利用 靜態程式碼分析工具從源頭減少bug的出現,減少修改錯誤的時間與成本,同時降低後續發生網路安全事件對公司的影響。
中科天齊Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
https://www.bleepingcomputer.com/news/security/actively-exploited-bug-bypasses-authentication-on-millions-of-routers/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2786125/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- VMware 修復CVSS評分9.8的身份驗證繞過漏洞
- flowable 繞過idm自帶的身份驗證
- Apple MDM 工具中存在身份驗證漏洞APP
- mysql身份認證繞過漏洞復現(CVE-2012-2122)MySql
- 烽火狼煙丨VMware Workspace ONE Access身份驗證繞過、本地提權漏洞風險提示
- 戴爾、聯想、微軟膝上型電腦上的Windows Hello身份驗證可被繞過微軟Windows
- 棧溢位漏洞利用(繞過ASLR)
- CVSS評分10.0,思科披露其BroadWorks平臺身份認證繞過漏洞
- 用友-NC-Cloud存在控制檯繞過漏洞Cloud
- 利用基於 NTP 的 TOTP 演算法缺陷繞過 WordPress 登陸驗證演算法
- 網站漏洞檢測解析繞過上傳漏洞網站
- Cisco ASA Software遠端認證繞過漏洞
- 檔案上傳漏洞(繞過姿勢)
- 【漏洞修復通知】修復Apache Shiro認證繞過漏洞Apache
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- 記憶體安全週報第112期|Fortinet 釋出了繞過身份驗證的緊急補丁記憶體
- WordPress外掛Jetpack存在漏洞,暴露數百萬個站點Jetpack
- Shiro-認證繞過漏洞(CVE-2020-1957)
- 文字檔案上傳漏洞[任意.繞過.解析]
- “三隻小貓”漏洞威脅全球數百萬思科路由器路由器
- vagrant啟動身份驗證失敗的解決方式
- 直播軟體搭建,姓名,身份證input驗證過濾
- vue+webpack繞過QQ音樂介面對host的驗證VueWeb
- Duo Security 研究人員對PayPal雙重驗證的繞過
- [MRCTF2020]你傳你呢 1 (檔案上傳漏洞,利用.htaccess檔案繞過)TF2
- Discuz 6、7 版本存在全域性變數防禦繞過導致程式碼執行漏洞變數
- 網站漏洞檢測 身份驗證碼與重要操作驗證碼安全問題網站
- 身份證驗證工具類
- 通過DNSLOG回顯驗證漏洞DNS
- 關於Ghostscript SAFER沙箱繞過漏洞的分析
- 影片直播app原始碼,姓名,身份證input驗證過濾APP原始碼
- 利用白名單繞過限制的更多測試
- 一個簡單的身份證校驗
- 【PTA】查驗身份證
- PHP 驗證身份證號碼PHP
- C++身份證號驗證C++
- JS驗證18位身份證號的正確性JS
- 路由器的System Verilog驗證平臺路由器