Дефект в маршрутизаторах O2 может привести к угону
Оператор широкополосной связи и мобильной связи, а также производитель маршрутизаторов Thomson заявили, что они работают над исправлением ошибки подделки межсайтовых запросов. O2 отказалась комментировать детали проблемы, но заявила в заявлении во вторник, что она сотрудничает с исследователем безопасности, который сообщил об уязвимости, чтобы понять ее.
О потенциальном недостатке впервые сообщил 28 августа Пол Муттон,исследователь безопасности и клиент O2 home broadband. В своем блоге он написал, что O2 Wireless Box II и Wireless Box III, настроенные версии маршрутизаторов Thomson TG585 и TG585n соответственно, страдают от "серьезной уязвимости безопасности, которая позволяет удаленным злоумышленникам получить доступ к частной сети домашнего пользователя и просмотреть/изменить настройки маршрутизатора".
Муттон отметил, что в маршрутизаторах было использовано несколько средств защиты от подделки межсайтовых запросов (CSRF)-тип атаки, при которой несанкционированные команды отправляются на веб — сайт с IP — адреса пользователя, - но сказал, что недостаток конструкции означает, что эти средства защиты можно обойти.
"Этот недостаток позволяет удаленным злоумышленникам взять почти полный контроль над маршрутизатором, включая кражу беспроводного ключа шифрования (даже если была включена самая продвинутая настройка WPA2) и перенаправление внешних портов на внутренние IP-адреса", - написал Муттон.
Исследователь сказал, что он не будет раскрывать конкретные детали дефекта, пока он не будет исправлен.
O2 сказал: "подавляющее большинство домашних маршрутизаторов производятся компанией Thomson, и одна и та же [проблема] будет применяться ко всем."
В четверг Thomson заявил в своем заявлении, что он "тесно сотрудничает с O2 по этому вопросу", но не сказал, какие другие интернет-провайдеры используют TG585n или сколько маршрутизаторов находится в обращении в Великобритании.
По словам Муттона, пострадали некоторые маршрутизаторы Be Broadband, принадлежащие O2, и Zen Internet.
Автор: Keylogger.Org Команда