Se você roda o DD-WRT em algum equipamento de rede, atenção para a falha divulgada no final da semana passada, especialmente se permite que usuários da Internet tenham acesso à interface web de administração: a ausência de verificação das URLs passadas a esta interface permite que usuários não autorizados nem autenticados tomem o controle do aparelho, simplesmente inserindo comandos após um “;” ao final da URL de acesso à interface de controle.
No momento em que escrevo, uma versão nova do DD-WRT já consta como disponibilizada, e uma solução temporária (baseada em desativar o acesso via https e criar uma regra especial de firewall) também está disponível no site oficial.
Trecho da cobertura do iG Tecnologia:
A vulnerabilidade acontece porque o servidor HTTP usado no firmware, que roda como root, não “filtra” as URLs passadas a ele, permitindo a construção de uma URL que inclua um comando a ser executado livremente. (via tecnologia.ig.com.br)
Saiba mais (tecnologia.ig.com.br).
0sem comentários ainda