U radu Asus RT-N56U bežičnog usmjerivača uočena je sigurnosna ranjivost. Ranjivost se javlja jer usmjerivač ne ograničava pristup stranici koja prikazuje konfiguraciju uređaja (QIS_wizard.htm?flag=detect). Uočenu ranjivost napadači mogu iskoristiti za otkrivanje osjetljivih informacija uključujući administratorsku lozinku. Svim se korisnicima preporuča nadogradnja na novu, ispravljenu, inačicu.
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2011-08-050
Naslov: Otklonjena ranjivost bezicnog usmjernika Asus RT-N56U
Datum: 2011-08-31
Programski paket: Asus RT-N56U Wireless Router
Tip sigurnosnog problema: otkrivanje osjetljivih informacija
Rizik: Srednji
_______________________________________________________________________________
[1] Uvod
Prilikom upotrebe bezicnog usmjerivaca Asus RT-N56U uocena je sigurnosna ranjivost.
Radi se o bezicnom usmjerivacu koji udvostrucuje bezicne performanse i propusnost.
Bitnije od njegovih karakteristika su:
- fleksibilnost i jednostavnost postavljanja,
- omogucuje i do 300 000 podatkovnih sjednica i dr.
Vise informacija o spomenutom usmjerivacu moguce je pogledati na sljedecoj web adresi:
http://www.asus.com/Networks/Wireless_Routers/RTN56U/
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Ranjivost uocena u radu bezicnog usmjerivaca Asus RT-N56U zlonamjernim napadacima omogucuje otkrivanje osjetljivih podataka.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca nadogradnja na inacicu 1.0.1.4o.
-------------------------------------------------------------------------------
[4] Analiza
Sigurnosni propust javlja se jer usmjerivac ne ogranicava pristup stranici koja prikazuje konfiguraciju uredjaja (QIS_wizard.htm?flag=detect), a napadacima omogucuje otkrivanje osjetljivih informacija prikazujuci administratorsku lozinku.
Ranivost je potvrdjena u inacici 1.0.1.4.
-------------------------------------------------------------------------------
[5] Credit
Informacije o propustu otkrio je:
Plucky preko US-CERT.
Tekst izvorne preporuke nalazi se na sljedecoj web adresi:
http://www.kb.cert.org/vuls/id/200814
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke