文章目录
[+]
供应商于 6 月尾收到关照,并给了 90 多天的韶光来发布补丁。然而,彷佛尚未发布任何修复程序,并且思科已根据其漏洞表露政策 公开了技能细节(https://blog.talosintelligence.com/vulnerability-roundup-webkit-and-yifan-router/)。
Talos 研究职员在 Yifan 的 YF325 蜂窝路由器中创造了十多个漏洞。据该供应商先容,该设备已支配在自助终端、智能交通、工业自动化、智能电网、供水、金融、发卖点系统等各个领域。
路由器中创造的大多数毛病已被指定为“严重”等级,别的的则被归类为“主要”等级。
(图片来自网络侵删)
Talos 表示,最严重的安全漏洞可被利用在目标路由器上实行任意 shell (CVE-2023-32632)、变动设备的管理员凭据并获取 root 访问权限 (CVE-2023-24479),并利用剩余的调试凭据可利用管理员权限访问设备 (CVE-2023-32645)。
别的的弱点可被利用来实行任意代码/命令和谢绝做事 (DoS) 攻击。
所有漏洞都可以通过向目标设备发送特制的网络要求来利用。
参考链接:https://www.securityweek.com/unpatched-vulnerabilities-expose-yifan-industrial-routers-to-attacks/
