【PConline 资讯】近日,业界数一数二的投影机品牌富可视IN3128型号投影机固件曝出身份验证绕过漏洞。由于该投影机可连接WiFi(用于无线投影),攻击者可以利用该漏洞攻击其所在的网络。 富可视IN3128通常应用于学校的多媒体教室。投影机管理控制台需要管理员密码才能访问其配置界面,但是受身份验证绕过漏洞(CVE-2014-8383)的影响,攻击者只需猜测用户成功登录之后跳转的页面(main.html)就能修改投影的任何配置参数,这意味着只需要使用正确的URL,攻击者就可以绕过登录页面的身份验证。 国家核心安全实验室的研究人员Joaquin Rodriguez Varela在报告中说道:“正常情况下,为了查看或者修改富可视IN3128HD配置参数,web服务器需要用户输入管理员密码才可以。然而,当攻击者知道正常用户成功登录后所跳转的页面(main.html)时,他就可以利用该漏洞绕过登录页面的身份验证。该漏洞的原因是登录限制页面并未包含任何控制或验证用户身份的信息,而登录时仅仅检查登录密码是否正确,成功登录后却并未产生会话cookie。” 一旦绕过身份验证机制,攻击者就可以获得及修改网络设置(例如:网络掩码、DNS服务器、网关)或WiFi配置,包括WiFi密码。不难想象得到WiFi密码之后会产生什么样的后果。 Varela强调,IN3128的固件还缺乏对webctrl.cgi.elf CGI文件的身份验证,而使用该文件可以再次更改包括DHCP设置在内的设备参数,并能够强制远程重启这台投影机。 Varela已经将该漏洞报告给了富可视公司,但截至目前,该公司仍未提供任何针对该漏洞的固件更新。 |
正在阅读:富可视IN3128投影机曝出身份验证绕过漏洞富可视IN3128投影机曝出身份验证绕过漏洞
2015-04-30 18:14
出处:PConline原创
责任编辑:shengyongzhen
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
37次
GoDaddy美国虚拟主机让智能建站更简单
1 -
25次
香港服务器10M独享,16G,2T,仅700元
2 -
23次
LOLS9皎月女神-黛安娜符文出装攻略 另类玩法征服者流皎月的玩法教学
3 -
20次
数字经济推动安防市场发展,安防企业应如何立足?
4 -
18次
王者荣耀GK.鹏鹏云中君KPL首秀铭文及出装 暴击穿透两不误?
5 -
17次
“户外液晶广告机”,新一代公园景区观光体验黑科技!
6 -
16次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
7 -
14次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
8 -
14次
自从有了佳能喷墨打印机G2810,再也不用担心墨盒太贵啦
9 -
13次
一分钟了解千兆与万兆光模块的那些事儿
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品