富可视投影仪曝身份验证绕过漏洞,可获取WiFi密码

简介:

业界数一数二的投影仪品牌富可视IN3128型号投影仪固件近日曝出身份验证绕过漏洞。由于该投影仪可连接WiFi(用于无线投影),攻击者可以利用该漏洞攻击投影仪所在的网络。

富可视投影仪曝身份验证绕过漏洞,可获取WiFi密码

漏洞原理

富可视IN3128型号投影仪通常应用于学校的多媒体教室。

通常来说,富可视IN3128HD投影仪管理控制台需要管理员密码才能访问其配置界面,但是受身份验证绕过漏洞(CVE-2014-8383)的影响,攻击者只需猜测用户成功登录之后跳转的页面(main.html)就能修改投影仪的任何配置参数,这意味着只需要使用正确的URL,攻击者就可以绕过登录页面的身份验证。

国家核心安全实验室的研究人员Joaquin Rodriguez Varela在报告中说道:

“正常情况下,为了查看或者修改富可视IN3128HD投影仪配置参数,web服务器需要用户输入管理员密码才可以。然而,当攻击者知道正常用户成功登录后所跳转的页面(main.html)时,他就可以利用该漏洞绕过登录页面的身份验证。该漏洞的原因是登录限制页面并未包含任何控制或验证用户身份的信息,而登录时仅仅检查登录密码是否正确,成功登录后却并未产生会话cookie。”

一旦绕过身份验证机制,攻击者就可以获得及修改网络设置(例如:网络掩码、DNS服务器、网关)或WiFi配置,包括WiFi密码。不难想象得到WiFi密码之后会产生什么样的后果。

Varela强调该投影仪固件还缺乏对webctrl.cgi.elf CGI文件的身份验证,而使用该文件可以再次更改包括DHCP设置在内的设备参数,并能够强制远程重启富可视IN3128HD投影仪。

安全建议

Varela已经将该漏洞报告给了富可视公司。然而,目前富可视公司仍未提供任何针对该漏洞的固件更新。

建议使用富可视IN3128HD投影仪的用户将该设备从公共网络进行隔离。


作者:JackFree

来源:51CTO

相关文章
|
2月前
|
数据安全/隐私保护
win10暴力查看wifi密码
win10暴力查看wifi密码
80 0
|
10月前
|
安全 数据安全/隐私保护 网络架构
如何查看电脑所有连接过的wifi密码?
如何查看电脑所有连接过的wifi密码?
311 0
|
Ubuntu Linux 网络安全
使用Kali Linux虚拟机破解WiFi密码的一波三折及详细操作步骤
使用Kali Linux虚拟机破解WiFi密码的一波三折及详细操作步骤
2332 0
使用Kali Linux虚拟机破解WiFi密码的一波三折及详细操作步骤
|
1月前
|
数据安全/隐私保护
1076 Wifi密码 (15 分)
1076 Wifi密码 (15 分)
|
1月前
|
数据安全/隐私保护 Windows
windows系统bat批处理 笔记本开wifi 笔记本查看wifi密码
windows系统bat批处理 笔记本开wifi 笔记本查看wifi密码
32 0
|
1月前
|
数据安全/隐私保护 Windows
windows系统bat批处理 查看当前电脑连接过的wifi名字和wifi密码
windows系统bat批处理 查看当前电脑连接过的wifi名字和wifi密码
37 0
|
1月前
|
数据安全/隐私保护
windows10 手动忘记wifi密码重置wifi密码
windows10 手动忘记wifi密码重置wifi密码
13 0
|
8月前
|
数据安全/隐私保护
破解WIFI密码之密码字典
破解WIFI密码之密码字典
345 1
|
8月前
|
安全 数据安全/隐私保护
windows10 查看已连接wifi的密码
windows10 查看已连接wifi的密码
186 0
|
2月前
|
存储 前端开发 算法
轻松查看WiFi密码的神奇脚本,让你忘记密码也不再是问题
轻松查看WiFi密码的神奇脚本,让你忘记密码也不再是问题
75 0