- A+
所属分类:未分类
据网络取证课程专家报道,Sierra发布了一份安全警报,提到其物联网 (IoT)应用程序的AirLink路由器模型受到一些已知漏洞的攻击。
影响AirLink设备的漏洞是几天前发布的Sierra Wireless 路由器中11个关键安全漏洞列表的一部分。 此外,该公司还提到漏洞也会影响使用相同软件(ALEOS)的其他路由器型号。
该路由器模型设计用于集成应用,例如车队(例如巡逻数据收集)中的数据传输,工业环境中的应用(实时设备跟踪)。 就其本身而言,ALEOS软件负责在真实环境中操作设备。
Sierra Wireless纠正了七个漏洞,其中两个是关键漏洞,网络取证课程专家提到。 据报道,如果被成功利用,这些漏洞将允许威胁参与者远程执行代码,提取用户凭据,并查找到系统文件的路由。
最严重的漏洞是操作系统中的命令注入漏洞(跟踪为CVE-2018-4061),以及允许黑客无限制地加载文件的漏洞。 漏洞被认为是至关重要的,并且在通用漏洞评分系统(CVSS)规模上获得了9.1分。
根据网络取证课程专家的说法,攻击者可以轻松利用这些漏洞,只使用专门设计的HTTP请求,然后加载将在可执行代码加载中派生的文件。
其他漏洞获得平均分数; 其中包括伪造跨站点请求的漏洞,使用编码凭据的漏洞以及允许JavaScript在用户浏览器中运行的HTTP ping请求错误。
据国际网络安全研究所(IICS)的专家称,该公司还纠正了两个影响其所有路由器模型的安全漏洞,这些漏洞可能会使他们面临多种远程黑客攻击。
2019年5月7日
