关于“iKuai”路由产品漏洞情况的通报

简介: 本文讲的是关于“iKuai”路由产品漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到北京长亭科技有限公司关于企业级流路由产品“iKuai IK-G20SQL注入漏洞”,“iKuai小白SQL注入漏洞”和“iKuai小白命令注入漏洞”的情况报送。

本文讲的是 关于“iKuai”路由产品漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到北京长亭科技有限公司关于企业级流路由产品“iKuai IK-G20SQL注入漏洞”,“iKuai小白SQL注入漏洞”和“iKuai小白命令注入漏洞”的情况报送。上述漏洞均由于未对用户输入进行有效验证,导致远程攻击者可利用该漏洞对使用受影响产品进行远程攻击。由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201608-553、CNNVD-201608-554、CNNVD-201608-555。

image

一、漏洞简介

“iKuai IK-G20”和“iKuai小白”是全讯汇聚网络科技公司的两款企业级流控路由产品。

企业级流控路由产品iKuai IK-G20iKuai8_2.6.5_Build20160815及历史版中存在SQL注入漏洞(漏洞编号:CNNVD-201608-553)。该漏洞源于telnet服务登录验证脚本没有正确过滤用户提交的输入,攻击者可利用该漏洞获取管理员账户和密码,修改任意用户密码,对文件写入任意数据。

  1. 企业级路由产品iKuai小白1.3.1及历史版本中存在SQL注入漏洞(漏洞编号:CNNVD-201608-554)。攻击者可利用该漏洞注入任意SQL命令。
  2. 企业级路由产品iKuai小白1.3.1及历史版本中存在命令注入漏洞(漏洞编号:CNNVD-201608-555)。该漏洞源于程序没有充分过滤参数,攻击者可利用该漏洞注入任意命令。

二、漏洞危害

1 攻击者可通过以下两种方式对上述漏洞进行利用:
(1)通过wifi或网线连接到路由器上,利用上述漏洞完全控制路由器。
(2)通过一台被攻击者控制的连接到该路由器的计算机作为跳板进行攻击,同样可影响到连接该路由器的所有计算机。

  1. 利用上述漏洞可造成以下危害:
    (1)可修改路由器访问限制,进行内网漫游攻击。

(2)通过“iKuai IK-G20 SQL注入漏洞”,可获取并任意修改管理员账号密码,写入恶意木马文件,造成连接该路由器的其他计算机受到拒绝服务、钓鱼欺骗等攻击。
(3)通过“iKuai小白SQL注入漏洞”和“iKuai小白命令注入漏洞”,可在无用户名和口令情况下登录,并可执行任何命令,造成连接该路由器的其他计算机受到拒绝服务、钓鱼欺骗等攻击。

三、修复措施

1、经CNNVD与厂商沟通确认,“iKuai IK-G20”和“iKuai小白”将于下一版本发布漏洞补丁,请可能受影响的用户及时关注信息。

2、在此之前,使用上述设备的用户,经厂商确认可使用如下临时解决方案:
(1)针对“iKuai IK-G20”路由产品,可通过关闭telnet登录消除安全隐患。
(2)修改iKuai路由产品密码为复杂口令,避免弱口令。

本报告由北京长亭科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD及时联系。

原文发布时间为:九月 8, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/19460.html

相关文章
|
7月前
|
供应链 安全 Shell
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
2024年4月,悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包
120 0
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
|
7月前
|
供应链 安全 Shell
|
Web App开发 安全 算法
微软再爆IE 0day漏洞 绿盟科技提供预警及防护手段
继今年1月14日微软IE浏览器曝出“Aurora”0day漏洞而引发了大规模的挂马攻击后,昨日微软IE浏览器再次爆出严重级别的0day漏洞(Microsoft IE畸形对象操作内存破坏漏洞CVE-2010-0806),受影响的IE浏览器版本包括IE7.0、IE6.0 SP1、IE6.0等几乎所有主流版本。
998 0