Серьезная уязвимость, раскрытая в прошлом месяце в Сетевой Камере Облака D-Link DCS-930L, как находили, затрагивала более чем 120 других продуктов D-Link, потому что инженеры компании повторно использовали тот же уязвимый компонент через различные микропрограммные версии, используемые с их устройствами.

В прошлом месяце исследователи безопасности от Сенрио обнаружили, что D-Link, камеры DCS-930L содержали RCE (удаленное выполнение кода) уязвимость, которая позволила мошенникам выполнять произвольный код на устройстве.

Компания создала деяние доказательства понятия, которые изменяют пароль веб-камеры, чтобы подчеркнуть проблему. Стивен Ридли, исследователь безопасности, который обнаружил проблему, говорит, что нашел тот же уязвимый компонент используемым в более чем 120 других продуктах D-Link, которые колеблются с точек доступа на маршрутизаторы, и с систем хранения данных на модемы.

Более чем 400 000 устройств D-Link, в настоящее время доступных онлайн

Так как уязвимость RCE может эксплуатироваться через сетевое подключение, любое уязвимое устройство D-Link, которое достижимо через звон, потенциально в опасности.

Всего, исследователь утверждает, что более чем 400 000 продуктов D-Link в настоящее время доступны онлайн.

В интервью перед конференцией по Кибербезопасности ICS SecurityWeek 2016 года, где он, как намечают, будет присутствовать, исследователь сказал, что его первоначальный кодекс сброса пароля мог быть заменен любым типом деяния, способного к любому действию.

Весь нападавший должен сделать, должен адаптировать оригинальное деяние к встроенному микропрограммному обеспечению устройства D-Link, для которого они хотят быть нацеленными. Нападавший только должен изменить ценности памяти, куда деяние должно бежать, чтобы быть нацеленным на уязвимый компонент в рамках определенного встроенного микропрограммного обеспечения устройства.

Ботнеты IoT - новая необходимая вещь хакера

На прошлой неделе Sucuri показал существование 25,000-сильного ботнета, состоявшего из поставивших под угрозу камер видеонаблюдения.

Этот ботнет был построен на основе уязвимого микропрограммного кодекса, отправленного тем же китайским продавцом более чем 70 компаниям. Тот же самый сценарий мог теперь повторить использование устройства D-Link.

Взламывание оборудования как Команда Ящерицы построило репутацию на основе ботнетов зараженных устройств IoT, способных к запуску крупных DDoS-атак.

D-Link обещала устранить все проблемы, но перепрошивки для устройств IoT общеизвестно сложные и медленные. К тому времени, когда чья-то бабушка выясняет, как применить микропрограммное обновление, что устройство D-Link уже будет частью нескольких сотен ботнетов.

Уязвимость D-Link затрагивает более чем 120 продуктов, 400 000 устройств Географическое распределение устройств D-Link, доступных через Интернет