IBM已披露了中國網(wǎng)絡解決方案提供商騰達在電力線擴展器中發(fā)現(xiàn)的幾個漏洞的詳細信息�。IBM表示,騰達忽略了其電子郵件和電話�����,目前尚不清楚是否正在開發(fā)任何補丁程序�����。
電力線擴展器被認為是Wi-Fi擴展器的替代方案�����,它利用建筑物的電線來擴大Internet連接的范圍��。將一個電力線網(wǎng)絡適配器連接到路由器�,然后再插入墻上的插座�����。電線會將信號傳送到另一個插座(在需要更強信號的區(qū)域)����,用戶可以在其中插入第二個電源線適配器���。
IBM X-Force Red團隊的研究人員分析了Tenda PA6 Wi-Fi電力線擴展器(該公司的PH5電力線擴展器套件的一部分)��,并確定了可能使攻擊者完全控制設備的漏洞��。
惡意參與者可能利用這些漏洞將設備添加到IoT僵尸網(wǎng)絡中�,并濫用它來發(fā)起DDoS攻擊����,移至網(wǎng)絡上的其他設備���,或者濫用它們來挖掘加密貨幣���。
漏洞之一被描述為命令注入問題,經(jīng)過身份驗證的攻擊者可以利用該命令來控制電力線適配器����。另一個漏洞使經(jīng)過身份驗證的攻擊者可以在設備上執(zhí)行任意代碼���。
IBM說,可能有可能從Internet遠程利用這些漏洞���。盡管利用漏洞需要身份驗證��,但這家科技巨頭的研究人員注意到���,易受攻擊的設備僅受弱默認密碼保護。
IBM研究人員發(fā)現(xiàn)的第三個安全漏洞是拒絕服務(DoS)漏洞�����,該漏洞無需身份驗證即可被利用����,從而導致設備不斷重啟。
他們還注意到��,攻擊者可以輕松獲取設備的固件映像�����,其中包括配置數(shù)據(jù)和其他文件。
根據(jù)分配給這些漏洞的CVE標識符�,它們在2019年被發(fā)現(xiàn),但似乎未發(fā)布任何補丁���。IBM表示����,它試圖將其調查結果報告給騰達�,但該供應商沒有理會其電話和電子郵件,這就是為什么不清楚該公司是否正在努力發(fā)布補丁的原因���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
