Изменение настроек маршрутизатора письмом на iPhone
Специалисты по безопасности из компании Acunetix опубликовали описание атаки, которая позволяет поменять настройки DNS в уязвимом маршрутизаторе локальной сети (при условии, что на маршрутизаторе стоит пароль по умолчанию). Для проведения атаки требуется всего лишь отправить специально сконструированный email одному из получателей внутри локальной сети. Если он открыл письмо на устройстве Apple — внутренняя сеть скомпрометирована.
Уязвимость проверена на маршрутизаторах Asus RT-N16 и Asus RT-N56U, но есть большая вероятность, что она присутствует и в других моделях маршрутизаторов.
Способ проведения атаки показан на демонстрационном видео.
Уязвимость связана с тем, что устройства Apple при открытии письма загружают по умолчанию изображения с удалённого сервера. Вообще-то, это не очень хорошо: отправитель может прислать картинку размером 1x1, которая физически находится на его сервере, и получить ответ с устройства Apple, содержащий IP-адрес и другую информацию о пользователе. В некоторых обстоятельствах такое поведение устройства может иметь катастрофические последствия.
Специалисты из Acunetix наглядно продемонстрировали эту опасность. Они решили осуществить атаку на домашний маршрутизатор. Устройство Apple имеет доступ к административной панели маршрутизатора: после аутентификации можно поменять настройки POST-запросом. К сожалению, многие пользователи не меняют пароль по умолчанию, установленный на маршрутизаторе: или не знают о нём, или не понимают проблемы из-за несанкционированного доступа к настройкам со стороны постороннего пользователя.
В общем, схема атаки заключается в том, что из внедрённого фрейма злоумышленник отправляет запросы к маршрутизатору, с паролем и командой на изменение настроек. Для повышения шансов на успех можно внедрить в письмо несколько фреймов — одно с паролем по умолчанию, а другие — с наиболее распространёнными паролями, как показано на иллюстрации.
Подробнее: http://www.xakep.ru/post/59718/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-04-22 » Комментирование кода и генерация документации в PHP
- 2024-04-22 » SEO в России и на Западе: в чем основные отличия
- 2024-04-22 » SEO для международного масштабирования
- 2024-04-22 » Как использовать XML-карты для продвижения сайта
- 2024-04-22 » Цифровой маркетинг: инструменты для продвижения и рекламы в 2024 году
- 2024-04-22 » Что такое CSS-модули и зачем они нам?
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
«Если компания не представлена в интернете, ее попросту нет» |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.