ASUS होम राउटर बग उपभोक्ताओं को स्नूपिंग अटैक के लिए खोलते हैं

समस्याओं को खत्म करने के लिए हमारे साधन का प्रयास करें

ऑपरेटिंग सिस्टम का चयन करें प्रक्षेपण का एक कार्यक्रम चुनें (वैकल्पिक रूप से)

अपनी समस्या का वर्णन करें

दो खामियां मैन-इन-द-बीच हमलों की अनुमति देती हैं जो एक हमलावर को राउटर के माध्यम से बहने वाले सभी डेटा तक पहुंच प्रदान करती हैं।

घर के लिए ASUS राउटर्स में खामियों की एक जोड़ी एक हमलावर को उपकरणों से समझौता करने की अनुमति दे सकती है - और उनके माध्यम से बहने वाले सभी ट्रैफ़िक और डेटा पर नज़र रख सकती है।

राउटर के फर्मवेयर अपडेट कार्यक्षमता के भीतर बग विशेष रूप से RT-AC1900P पूरे-घर वाई-फाई मॉडल में पाए जाते हैं। ट्रस्टवेव द्वारा मूल रूप से खुला, ASUS ने बग के लिए पैच जारी किए हैं, और मालिकों से अपडेट को जल्द से जल्द लागू करने का आग्रह किया जाता है।

पहला अंक (CVE-२०२०-१५४९८) प्रमाणपत्र जाँच की कमी से उपजा है।

वेबमेल ओह आरआर कॉम लॉगिन

राउटर का उपयोग करता है जीएनयू Wget ASUS सर्वर से फर्मवेयर अपडेट प्राप्त करने के लिए। एसएसएच के माध्यम से लॉग इन करना और लिनक्स/यूनिक्स का उपयोग करना संभव है ग्रेप कमांड एक विशिष्ट स्ट्रिंग के लिए फाइल सिस्टम के माध्यम से खोजने के लिए जो इंगित करता है कि भेद्यता मौजूद है: -नो-चेक-प्रमाणपत्र।

राउटर के कमजोर संस्करणों में, उस स्ट्रिंग वाली फाइलें शेल स्क्रिप्ट होती हैं जो ASUS अपडेट सर्वर से डाउनलोड करती हैं, के अनुसार ट्रस्टवेव की सलाह , गुरुवार को जारी किया गया। यह स्ट्रिंग इंगित करती है कि कोई प्रमाणपत्र जाँच नहीं है, इसलिए एक हमलावर लक्षित डिवाइस पर दुर्भावनापूर्ण फ़ाइलों को स्थापित करने के लिए अविश्वसनीय (जाली) प्रमाणपत्रों का उपयोग कर सकता है।

मध्य हमले (एमआईटीएम) में एक आदमी को करने के लिए एक हमलावर को कमजोर राउटर से कनेक्ट करने की आवश्यकता होगी, जो उस व्यक्ति को डिवाइस के माध्यम से जाने वाले सभी यातायात तक पूर्ण पहुंच की अनुमति देगा।

नवीनतम फर्मवेयर अब Wget विकल्प का उपयोग न करके बग को समाप्त कर देता है।

पलक झपकते कहाँ से खरीदें

ट्रस्टवेव के अनुसार, दूसरा बग (CVE-2020-15499), फर्मवेयर अपडेट से संबंधित वेब प्रबंधन इंटरफ़ेस में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है।

अनुरोध कैसे खरीदें

रिलीज नोट्स पृष्ठ उपयोगकर्ता को प्रस्तुत करने से पहले पृष्ठ की सामग्री से ठीक से बच नहीं पाया, फर्म ने समझाया। इसका मतलब यह है कि एक वैध व्यवस्थापक पर दुर्भावनापूर्ण पार्टी द्वारा हमला किया जा सकता है, जो पहले MITM को खोजकर और मनमाने ढंग से जावास्क्रिप्ट कोड निष्पादन के साथ इसका उपयोग कर रहा है।

ASUS ने इसे नवीनतम फर्मवेयर में ठीक किया है ताकि रिलीज नोट्स पेज अब मनमानी सामग्री को शब्दशः प्रस्तुत न करे।

चूंकि इस तरह के राउटर आमतौर पर एक नेटवर्क की पूरी परिधि को परिभाषित करते हैं, इसलिए उन्हें लक्षित करने वाले हमले संभावित रूप से आपके नेटवर्क के अंदर और बाहर सभी ट्रैफ़िक को प्रभावित कर सकते हैं, ट्रस्टवेव ने चेतावनी दी।

ASUS ने फर्मवेयर संस्करण 3.0.0.4.385_20253 में समस्याओं को ठीक किया।

बग प्रकटीकरण दो सप्ताह से कम समय के बाद आता है धमाकेदार सुरक्षा समीक्षा शोधकर्ताओं के अनुसार, 127 लोकप्रिय घरेलू राउटरों में से अधिकांश में कम से कम एक महत्वपूर्ण सुरक्षा खामी पाई गई। शोधकर्ताओं ने कहा कि न केवल उन सभी राउटरों में खामियां हैं, जिनकी जांच शोधकर्ताओं ने की है, कई सैकड़ों ज्ञात कमजोरियों से प्रभावित हैं।

डी-लिंक, नेटगियर, एएसयूएस, लिंक्सिस, टीपी-लिंक और ज़ीक्सेल जैसे विक्रेताओं द्वारा विश्लेषण किए गए राउटर औसतन 53 महत्वपूर्ण-रेटेड कमजोरियों (सीवीई) से प्रभावित थे, यहां तक कि गुच्छा के सबसे सुरक्षित उपकरण के साथ भी। रिपोर्ट के अनुसार 21 सीवीई। शोधकर्ताओं ने विशिष्ट कमजोरियों को सूचीबद्ध नहीं किया।

#iot #कमजोरियां #वेब सुरक्षा #asus #बग #cve-2020-15498 #cve-2020-15499 #फर्मवेयर अपडेट #होम राउटर #बीच में आदमी #mitm #patch #rt-ac1900p #सुरक्षा भेद्यता #कुल समझौता #ट्रस्टवेव

पांडा डेटाफ़्रेम एपेंड इनप्लेस

ASUS होम राउटर बग उपभोक्ताओं को स्नूपिंग अटैक के लिए खोलते हैं

थ्रेटपोस्ट.कॉम