?

Sep 08 2016

關于愛快iKuai路由產品漏洞情況的通報

首頁 » 業界見聞 » 關于愛快iKuai路由產品漏洞情況的通報   

1.jpg

 

 

 

近日,國家信息安全漏洞庫(CNNVD)收到北京長亭科技有限公司關于企業級流路由產品“iKuai IK-G20SQL注入漏洞”,“iKuai小白SQL注入漏洞”和“iKuai小白命令注入漏洞”的情況報送。上述漏洞均由于未對用戶輸入進行有效驗證,導致遠程攻擊者可利用該漏洞對使用受影響產品進行遠程攻擊。由于該漏洞影響范圍較廣,危害較為嚴重,根據CNNVD相關規定,已對此漏洞進行收錄,并分配編號CNNVD-201608-553、CNNVD-201608-554、CNNVD-201608-555。

一、漏洞簡介

“iKuai IK-G20”和“iKuai小白”是全訊匯聚網絡科技公司的兩款企業級流控路由產品。

1、 企業級流控路由產品iKuai IK-G20iKuai8_2.6.5_Build20160815及歷史版中存在SQL注入漏洞(漏洞編號:CNNVD-201608-553)。該漏 洞源于telnet服務登錄驗證腳本沒有正確過濾用戶提交的輸入,攻擊者可利用該漏洞獲取管理員賬戶和密碼,修改任意用戶密碼,對文件寫入任意數據。

2、企業級路由產品iKuai小白1.3.1及歷史版本中存在SQL注入漏洞(漏洞編號:CNNVD-201608-554)。攻擊者可利用該漏洞注入任意SQL命令。

3、企業級路由產品iKuai小白1.3.1及歷史版本中存在命令注入漏洞(漏洞編號:CNNVD-201608-555)。該漏洞源于程序沒有充分過濾參數,攻擊者可利用該漏洞注入任意命令。

二、漏洞危害

1、攻擊者可通過以下兩種方式對上述漏洞進行利用:

(1)通過wifi或網線連接到路由器上,利用上述漏洞完全控制路由器。

(2)通過一臺被攻擊者控制的連接到該路由器的計算機作為跳板進行攻擊,同樣可影響到連接該路由器的所有計算機。

2、利用上述漏洞可造成以下危害:

(1)可修改路由器訪問限制,進行內網漫游攻擊。

(2)通過“iKuai IK-G20 SQL注入漏洞”,可獲取并任意修改管理員賬號密碼,寫入惡意木馬文件,造成連接該路由器的其他計算機受到拒絕服務、釣魚欺騙等攻擊。

(3)通過“iKuai小白SQL注入漏洞”和“iKuai小白命令注入漏洞”,可在無用戶名和口令情況下登錄,并可執行任何命令,造成連接該路由器的其他計算機受到拒絕服務、釣魚欺騙等攻擊。

三、修復措施

1、經CNNVD與廠商溝通確認,“iKuai IK-G20”和“iKuai小白”將于下一版本發布漏洞補丁,請可能受影響的用戶及時關注信息。

2、在此之前,使用上述設備的用戶,經廠商確認可使用如下臨時解決方案:

(1)針對“iKuai IK-G20”路由產品,可通過關閉telnet登錄消除安全隱患。

(2)修改iKuai路由產品密碼為復雜口令,避免弱口令。

本報告由北京長亭科技有限公司提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD及時聯系。

聯系電話:010-82341439。

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016080553

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016080554

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016080555

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: 路由器安全

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «Python勒索軟件來襲,國產殺軟集體失身 | Spring Boot框架Whitelabel Error Page SpEL注入漏洞分析»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖