注册
登录
微信号:freebuf 业界数一数二的投影仪品牌富可视IN3128型号投影仪固件近日曝出身份验证绕过漏洞。由于该投影仪可连接WiFi(用于无线投影),攻击者可以利用该漏洞攻击投影仪所在的网络。 漏洞原理 富可视IN3128型号投影仪通常应用于学校的多媒体教室。 通常来说,富可视IN3128HD投影仪管理控制台需要管理员密码才能访问其配置界面,但是受身份验证绕过漏洞(CVE-2014-8383)的影响,攻击者只需猜测用户成功登录之后跳转的页面(main.html)就能修改投影仪的任何配置参数,这意味着只需要使用正确的URL,攻击者就可以绕过登录页面的身份验证。 国家核心安全实验室的研究人员Joaquin Rodriguez Varela在报告中说道: 一旦绕过身份验证机制,攻击者就可以获得及修改网络设置(例如:网络掩码、DNS服务器、网关)或WiFi配置,包括WiFi密码。不难想象得到WiFi密码之后会产生什么样的后果。 Varela强调该投影仪固件还缺乏对webctrl.cgi.elf CGI文件的身份验证,而使用该文件可以再次更改包括DHCP设置在内的设备参数,并能够强制远程重启富可视IN3128HD投影仪。 安全建议 Varela已经将该漏洞报告给了富可视公司。然而,目前富可视公司仍未提供任何针对该漏洞的固件更新。 建议使用富可视IN3128HD投影仪的用户将该设备从公共网络进行隔离。 * 参考来源securityaffairs,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM) |
