25 000 dan ortiq Linksys marshrutizatorlari ma’lumotlarining oqib ketishiga moyil.
Uskunalar MAC manzillari, qurilma nomlari, operatsion tizim turi, firewall holati va boshqalar kabi ma’lumotlarni oshkor qiladi.
Xavfsizlik mutaxassisi Troy Mursch o’tkazgan tadqiqotga ko’ra, 25 000 dan ortiq Linksys Smart Wi-Fi marshrutizatorlarida muhim ma’lumotlarga masofadan kirish imkonini beruvchi zaiflik mavjud.
Jami mutaxassis dunyo bo’ylab 146 ta mamlakatda 25 617 ta zaif qurilmani aniqladi, ular MAC manzillari, qurilma nomlari, operatsion tizim turi, firewall holati, firmware yangilanish sozlamalari (ba’zi hollarda WAN sozlamalari) va DDNS konfiguratsiyasi haqidagi ma’lumotlarni «oqizib» turgan. Mursch qayd etishicha, qurilmani faqat MAC manzili bo’yicha kuzatish mumkin, va agar router egasi qurilma nomiga o’z ismini qo’shsa, hujumchilar uni aniqlab, jamoat IP manzili asosida uning joylashuvini aniqlashlari mumkin.
«IP manzili bo’yicha geolokatsiya aniq bo’lmasa-da, WiGLE kabi xizmatlar yordamida har kim faqat Wi-Fi tarmog’ining MAC manzili yoki SSIDiga asoslanib uning geografik koordinatalarini aniqlay oladi. Hujumchi Linksys Smart Wi-Fi marshrutizatoriga hujum qilib, uning MAC manzilini olishi va joylashuvini aniqlashi mumkin», dedi mutaxassis. Ma’lumotlarga routerning ommaviy IP-manzili orqali rivojlantiruvchi panelni ochish orqali, hech qanday ruxsatsiz kirish mumkin.
Linksys firmvaridagi zaiflik (CVE-2014-8244), u bir qator mahsulotlarga kiritilgan, 2014 yildan beri mavjud. Muammo uchun yamoq chiqarilgan bo’lsa-da, tadqiqotchiga ko’ra, bu xato hanuzgacha dolzarb bo’lib qolmoqda.
March o’z topilmalari haqida ishlab chiqaruvchiga xabar berdi, ammo Linksys bu muammoni «ahamiyatsiz» deb baholadi va chora ko’rishni rad etdi.
Zaif modellarning ro’yxati quyida keltirilgan.
