Эксперт Google сообщил о 0-day уязвимости в роутерах TP-Link SR20 - «Новости»
sitename
Microsoft втихую прикрыла официальную возможность активации Windows без интернета - «Новости сети»
Microsoft втихую прикрыла официальную возможность активации Windows без интернета - «Новости сети»
 Пользователи Steam выбрали лучшую игру 2025 года — это не Clair Obscur: Expedition 33 и даже не Kingdom Come: Deliverance 2 - «Новости сети»
Пользователи Steam выбрали лучшую игру 2025 года — это не Clair Obscur: Expedition 33 и даже не Kingdom Come: Deliverance 2 - «Новости сети»
 В Норвегии уже почти все новые зарегистрированные автомобили — электрические - «Новости сети»
В Норвегии уже почти все новые зарегистрированные автомобили — электрические - «Новости сети»
 Никаких проводов и отверстий: на CES 2026 покажут огромный телевизор на присосках - «Новости сети»
Никаких проводов и отверстий: на CES 2026 покажут огромный телевизор на присосках - «Новости сети»
 SpaceX первой в мире запустила ракету на орбиту в 2026 году - «Новости сети»
SpaceX первой в мире запустила ракету на орбиту в 2026 году - «Новости сети»
 Израиль принял на вооружение лазерную пушку «Железный луч» — проблему потерь энергии в воздухе решила адаптивная оптика - «Новости сети»
Израиль принял на вооружение лазерную пушку «Железный луч» — проблему потерь энергии в воздухе решила адаптивная оптика - «Новости сети»
 Китайская BYD показала самый слабый рост продаж за пять лет - «Новости сети»
Китайская BYD показала самый слабый рост продаж за пять лет - «Новости сети»
 Nvidia ведёт переговоры о покупке израильского ИИ-стартапа AI21 Labs за $2-3 млрд - «Новости сети»
Nvidia ведёт переговоры о покупке израильского ИИ-стартапа AI21 Labs за $2-3 млрд - «Новости сети»
 MSI представила два 32-дюймовых игровых монитора с экранами 4K QD-OLED - «Новости сети»
MSI представила два 32-дюймовых игровых монитора с экранами 4K QD-OLED - «Новости сети»
 Neuralink начнёт массовое производство мозговых имплантов в 2026 году - «Новости сети»
Neuralink начнёт массовое производство мозговых имплантов в 2026 году - «Новости сети»
Новости мира Интернет » Новости » Эксперт Google сообщил о 0-day уязвимости в роутерах TP-Link SR20 - «Новости»

✔Эксперт Google сообщил о 0-day уязвимости в роутерах TP-Link SR20 - «Новости»

02 апреля 2019 829 Новости 0
Рекомендуем почитать:

Xakep #240. Ghidra

  • Содержание выпуска

  • Подписка на «Хакер»

Известный ИБ-эксперт и разработчик Google Мэтью Гарретт (Matthew Garrett) сообщил, что в домашних роутерах TP-Link SR20 была обнаружена уязвимость, позволяющая локальному атакующему осуществить исполнение произвольных команд с правами суперпользователя.


Эксперт уведомил о проблеме представителей TP-Link, однако по истечении положенных 90 дней так и не дождался какого-либо ответа от компании, после чего обнародовал информацию о баге и proof-of-concept эксплоит (содержащий всего 38 сток кода) публично. Гаррет предупреждает, что похожие проблемы могут присутствовать и у других устройств TP-Link.


Уязвимость связана с использованием TDDP (TP-Link Device Debug Protocol), в котором ранее неоднократно обнаруживали проблемы. Гаррет пишет, что одна из уязвимостей позволяет работать вообще без пароля, а в моделях SR20 по-прежнему остались некоторые команды из первой версии TDDP, в том числе необходимые для проверки конфигурации.


В конечном итоге локальный атакующий получает возможность исполнять произвольные команды с root-правами через os.execute(). К счастью, доступ к TDDP по умолчанию блокирует файрвол, то есть проблема хотя бы не представляет такой опасности, как RCE-уязвимости в других устройствах TP-Link, обнаруженные в ноябре прошлого года.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Рекомендуем почитать: Xakep
CSS, SR20 роутерах других TP-Link Гаррет
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация