ព័ត៌មាន

ចំណុចរងគ្រោះនៅលើ Zero-Day Remote 'Root' ត្រូវរកឃើញនៅលើឧបករណ៍ជាច្រើនរបស់ AT&T DirecTV WVB

ក្រុមអ្នកស្រាវជ្រាវសុវតិ្ថភាពបង្ហាញជាសាធារណៈនូវចំណុចរងគ្រោះ zero-day នៅក្នុង Firmware មួយនៅក្នុង AT&T DirecTV WVB ។ បញ្ហានេះគឺភ្ជាប់ជាមួយនឹងសមាសភាគមួយនៅក្នុងប្រព័ន្ធ Genie DVR system ដែលស្ថិតនៅក្នុង WVBR0-25— ដែលជា wireless video bridge ដំណើរការប្រព័ន្ធប្រតិបត្តិការ Linux ដែលផលិតឡើងដោយក្រុមហ៊ុន Linksys ។

image

សម្រាប់ឧបករណ៍ DirecTV Wireless Video Bridge WVBR0-25 អនុញ្ញាតឱ្យ Genie DVR ធ្វើការទំនាក់ទំនងតាមខ្យល់ជាមួយនឹង Genie client boxes (រហូតដល់ 8) ជាមួយនឹងអតិថិជនដែលធ្វើការដោតចូលទៅក្នុងទូរទស្សន៍របស់ពួកគេ។ អ្នកស្រាវជ្រាវ Ricky Lawshae របស់ក្រុមហ៊ុន Trend Micro រកឃើញថា Linksys WVBR0-25 អាចធ្វើការវិភាគព័ត៌មានខាងក្នុងនៅលើ Web Server ចេញពីឧបករណ៍ដោយគ្មានការផ្ទៀងផ្ទាត់នោះទេ។

 image

នៅពេលដែលព្យាយាម Browse ទៅកាន់ Web Server នៅលើ Wireless Bridge អ្នកស្រាវជ្រាវ Lawshae អាចធ្វើការវិភាគទៅលើ Scripts ដែលផ្ទុកព័ត៌មានជាច្រើនអំពី DirecTV Wireless Video Bridge ដែលរួមមាន WPS pin, connected clients, running processes និងជាច្រើនទៀត។ ចំណុចរងគ្រោះនេះត្រូវរាយការណ៍ទៅកាន់ Linksys ដោយ ZDI Initiative កាលពី 6 ខែមុននេះ ប៉ុន្តែបញ្ហានេះនៅមិនទាន់ជួសជុលនៅឡើយទេហើយរឿងនេះគឺជាការបើកទ្វារសម្រាប់ហេគឃ័រ៕