В ПО сетевых устройств с веб-интерфейсом найдена брешь

Специалисты компании Calyptix Security обнаружили серьезную уязвимость в программном обеспечении сетевого оборудования известных производителей.

Выявленная дыра теоретически позволяет проводить так называемые CSRF-атаки на устройства с веб-интерфейсом. Суть атак CSRF (Cross-Site Request Forgery - межсайтовая фальсификация запроса) сводится к тому, что злоумышленник может захватить контроль над атакуемым аппаратом путем имитации запроса от авторизованного пользователя. Для организации нападения необходимо вынудить пользователя, имеющего доступ к сетевому оборудованию, подключиться через веб-интерфейс к устройству и одновременно открыть в браузере сформированный специальным образом сайт.

Исследование, проведенное компанией Calyptix Security, показало, что уязвимость затрагивает очень широкий спектр устройств. Атакам, в частности, подвержены аппаратные брандмауэры, маршрутизаторы, системы хранения данных, сетевые принтеры и пр. Эксплуатируя брешь, злоумышленник теоретически может заводить новые учетные записи, менять пароли пользователей, изменять настройки и так далее.

Компания Calyptix Security уже распространила информацию о проблеме среди производителей сетевого оборудования. Однако на текущий момент уязвимость в своих продуктах устранила лишь компания Check Point Software Technologies. Другие поставщики официальные комментарии относительно исследования Calyptix Security пока не сделали.