Tags:
Node Thumbnail

Błażej Adamczyk นักวิจัยด้านความปลอดภัยชาวโปแลนด์จากมหาวิทยาลัยเทคโนโลยี Silesian ได้ค้นพบช่องโหว่ระดับวิกฤติ 3 ช่องโหว่ที่กระทบกับเราท์เตอร์ D-Link 6 รุ่นได้แก่ DWR-116, DWR-140L, DWR-512, DWR-640L, DWR-712, DWR-912, DWR-921, และ DWR-111

Adamczyk ติดต่อไปยัง D-Link หลังค้นพบช่องโหว่ในเดือนพฤษภาคม โดยได้รับคำตอบกลับมาว่าจะแพทช์ 2 รุ่น ส่วนที่เหลือเข้าสู่สถานะ EOL แล้ว ทว่าเวลาผ่านไปก็ยังคงไม่มีแพตช์ออกมา ทำให้ Adamczyk ตัดสินใจเปิดเผยช่องโหว่นี้ออกสู่สาธารณะดังนี้

  • CVE-2018-10822 ทำให้เราท์เตอร์สามารถถูกโจมตีทางไกล เข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ โดยช่องโหว่นี้เคยถูกรายงานให้กับทาง D-Link แล้วด้วยรหัส CVE-2017-6190 ทว่า D-Link ยังคงแก้ไขไม่หมด
  • CVE-2018-10824 ช่องโหว่ที่ทำให้แฮกเกอร์สามารถเข้าถึงรหัสผ่านแอดมินบนเราท์เตอร์แบบ plaintext
  • CVE-2018-10823 ช่องโหว่นี้มีผลเฉพาะเราท์เตอร์เพียง 6 รุ่น ที่เปิดให้แฮกเกอร์สามารถรันคำสั่งเข้าควบคุมเราท์เตอร์ได้

Adamczyk ระบุด้วยว่าช่องโหว่ทั้ง 3 ทำให้แฮกเกอร์สามารถโจมตีและเข้าควบคุมเราท์เตอร์ได้อย่างสมบูรณ์ พร้อมมีตัวอย่างการโจมตีเป็นคลิปท้ายข่าวด้วย

ที่มา - Naked Security, Security Week

Get latest news from Blognone

Comments

By: sakura
ContributorWindows PhoneSymbian
on 22 October 2018 - 01:05 #1077517

ผ่านมาครึ่งปี จนจะหมดปีอยู่แล้วยังแก้ไขไม่เสร็จเลย ทำงานช้ามากครับ

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 22 October 2018 - 12:40 #1077614 Reply to:1077517
Be1con's picture

ของผมขนาด​ KRACK ยังไม่แก้เลยครับ


< Code | Design | Life | Blogger | Beyond >

By: Mr.X
iPhoneAndroid
on 22 October 2018 - 01:23 #1077520

กรรมแท้ ยี่ห้อนี้ขายดีสะด้วยในไทย


Staying like noone

By: mcga on 22 October 2018 - 05:32 #1077538

ดีน่ะที่ซื้อมาใช้แค่ทำ AP

By: Wang_Peter
iPhoneAndroid
on 22 October 2018 - 08:05 #1077547
Wang_Peter's picture

นึกถึง เหตุการณ์คล้ายๆแบบนี้ เตือนว่าเห็นช่องโหว่ แต่วางเฉย แถมหาว่าเป็น Hacker

By: big50000
AndroidSUSEUbuntu
on 22 October 2018 - 14:09 #1077635 Reply to:1077547
big50000's picture

บริษัท T สีแดงแน่นอน


โควตาคอมเมนต์ก็น้อยเกิ๊นนนน~

By: K_AViar
Windows PhoneUbuntuWindowsIn Love
on 22 October 2018 - 08:27 #1077554

แบรนด์นี้ ให้ซื้อใช้เองคงไม่เอา


แวะมาชมบล็อคผมบ้างก็ได้นะ คลิกเบาๆ

By: Perl
ContributoriPhoneUbuntu
on 22 October 2018 - 11:21 #1077593
Perl's picture

นึกถึงสมัยเรียนมหาลัย
อยากยึด Router หอพัก แต่ไม่มีรหัสผ่าน
ใช้วิธี tftp เข้าไป get configuration file แล้วก็เปิดอ่านด้วย Notepad
ซึ่ง password อยู่ในรูปแบบ plaintext เสร็จสรรพ

และก็ได้ Forward Port เน็ตหอสมใจ

บางตัวก็ ssh ได้ แถมโหมด ssh ใช้ default password อีก

By: mr_tawan
ContributoriPhoneAndroidWindows
on 22 October 2018 - 11:23 #1077596
mr_tawan's picture

เพิ่งเปลี่ยนไปใช้ Linksys Velop รอดไป

แต่ยังรู้สึกไม่ค่อยเสถียรเลย Line ใช้ได้บ้างไม่ได้บ้าง

Edit: ดูเลขรุ่นอีกที เป็นพวก 4G router หมดเลยนี่หว่า


  • 9tawan.net บล็อกส่วนตัวฮับ
By: osmiumwo1f
ContributorWindows PhoneWindows
on 22 October 2018 - 14:14 #1077637

ทุกวันนี้จะซื้อ router แต่ละทีต้องดูว่ารองรับ DD-WRT Tomato OpenWRT หรือเปล่า เพราะหลายตัวนี่ทำออกมากะขายอย่างเดียว ไม่ออก patch หรืออะไรหรอกครับ

By: Diew
ContributoriPhoneWindows PhoneAndroid
on 22 October 2018 - 20:47 #1077696 Reply to:1077637
Diew's picture

คนส่วนมากใช่จะสนน่ะครับ ต่อเน็ดติดจบก็จบแค่นั้น ค่ายต่าง ๆ ก็เลยช่าง ๆ มันละมั้ง

ตัวผมก็ขี้เกียจสนใจหยุมหยิม ใช้ asuswrt เอา (เห็นขนาดเมืองนอกพวกใช้ netgear ตัว top ยังเอามาลงคิดว่าน่าจะ ok อยู่)

By: mr_tawan
ContributoriPhoneAndroidWindows
on 22 October 2018 - 20:41 #1077697 Reply to:1077637
mr_tawan's picture

ผมว่ามันหายากมากเลยครับที่จะรองรับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: sapjunior
AndroidUbuntuWindows
on 23 October 2018 - 00:40 #1077756 Reply to:1077697

ส่วนใหญ่ถ้าใช้ Chip Broadcom จะรองรับครับ ถ้า Qualcomm/Mediatek นี่ยากหน่อย

By: mr_tawan
ContributoriPhoneAndroidWindows
on 23 October 2018 - 01:47 #1077763 Reply to:1077756
mr_tawan's picture

router ที่ผมซื้อมาทั้งหมดจนถึงตอนนี้ เหมือนจะมีแค่ ... ตัวเดียวครับ

แถมเป็นตัวที่พรีโหลด dd-wrt (เอ๊ะหรือ openwrt) จากโรงงานด้วย


  • 9tawan.net บล็อกส่วนตัวฮับ
By: sMaliHug on 22 October 2018 - 19:27 #1077683

ถึงออกแพต อุปกรณ์บ้านๆ ก็ไม่ค่อยจะมีใครอัพหรอกครับ

By: mrKaqz
ContributorAndroidBlackberry
on 23 October 2018 - 03:27 #1077772

สมัยนี้แล้วคงต้องเปลี่ยนไปเป็น router ที่มี OTA ได้อัตโนมัติได้แล้ว การอัปเดทแบบเดิมๆมันความเสี่ยงสูงเข้าไปทุกวัน แต่อย่างว่า ไม่มีใครจะสนใจอยู่ดี ถ้าโดน hack ก็ยังไม่รู้ตัวด้วยซ้ำไป

By: osmiumwo1f
ContributorWindows PhoneWindows
on 23 October 2018 - 11:37 #1077810 Reply to:1077772

วิธีมันดีอยู่แล้ว แต่ปัญหามันอยู่ที่ผู้ผลิตไม่ออก patch ครับ