Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Netgear оставила на своих маршрутизаторах TLS-сертификаты с закрытыми ключами

21/01/20

NetgearКомпания Netgear оставила на своих устройствах данные, позволяющие перехватывать и влиять на защищенное соединение маршрутизаторов с web-панелями администрирования.

В частности, подлинные подписанные TLS-сертификаты с закрытыми ключами были встроены в ПО, поставляемое с устройствами Netgear, а также бесплатно доступное для скачивания всем желающим. С помощью этих данных злоумышленник может создать HTTPS-сертификат, которому будет доверять браузер, осуществить атаку «человек посередине» и перехватывать/взаимодействовать с зашифрованным соединением со встроенной web-панелью управления маршрутизатора. Другими словами, вышеупомянутые данные могут использоваться киберпреступниками для взлома маршрутизаторов.

Уязвимость обнаружили исследователи безопасности Ник Старк (Nick Starke) и Том Поль (Tom Pohl) 14 января и спустя пять дней сообщили о ней широкой общественности.

«Мы знаем, что у Netgear есть программы выплаты вознаграждений за уязвимости. Однако в настоящее время эти программы не позволяют ни при каких обстоятельствах публично раскрывать информацию об уязвимостях. Как исследователи мы чувствуем, что людям нужно знать об утечке сертификатов, для того чтобы защитить себя, а проблемные сертификаты должны быть отозваны, чтобы крупные браузеры перестали им доверять. Мы не могли быть уверены, что это будет сделано, если бы мы воспользовались программой выплаты вознаграждений», - сообщили исследователи.

Темы:Угрозымаршрутизаторыключи шифрованияNetgear

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...