Уразливості в D-Link DVG-5402SP
16:24 19.03.201609.01.2015
У січні, 01.01.2015, я виявив Brute Force, Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DVG-5402SP VoIP Router. Це перша частина дірок в DVG-5402SP.
Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DCS-2103 та D-Link DCS-930L.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
27.01.2016
Brute Force (WASC-11):
http://site - в формі логіна немає захисту від BF атак.
Abuse of Functionality (WASC-42):
Фіксовані логіни: “admin” і “user”. Що спрощує атаки.
Cross-Site Request Forgery (WASC-09):
Зміна пароля адміна:
Cross-Site Request Forgery (WASC-09):
Після зміни, пароль потрібно зберегти і перезапустити пристрій окремим GET запитом:
http://site/ConfigBackupForm.asp
Уразлива версія D-Link DVG-5402SP, Firmware RU_1.01. Дана модель з іншими прошивками також повинна бути вразливою.