Некоторые модели беспроводных маршрутизаторов D-Link имеют скрытую функциональность, при которой служба telnet включается при подключении п…
Некоторые модели беспроводных маршрутизаторов D-Link имеют скрытую функциональность, при которой служба telnet включается при подключении порта WAN. Неавторизованные удаленные злоумышленники могут войти в систему и выполнять команды ОС, используя жестко запрограммированные учетные данные.
Продукт содержит функциональность, которая не задокументирована, не предусмотрена спецификацией и недоступна через интерфейс или последовательность команд, очевидную для пользователей или администраторов продукта.
https://cwe.mitre.org/data/definitions/912.html →Открыть в коллекции CWE →Злоумышленник пытается задействовать все распространённые ключи и параметры в целевом приложении с целью обнаружения слабостей. Например, в некоторых приложениях добавление ключа --debug приводит к отображению отладочной информации, которая иногда позволяет злоумышленнику получить конфиденциальные сведения об обработке или конфигурации. Данная атака отличается от других форм злоупотребления API тем, что злоумышленник бессистемно пытается задействовать параметры в надежде, что хотя бы один из них сработает, а не целенаправленно атакует известный параметр. Тем не менее, даже если злоумышленник знаком с опубликованными параметрами целевого приложения, данный метод может оказаться результативным, поскольку позволяет обнаружить незадокументированную функциональность.
https://capec.mitre.org/data/definitions/133.html →Открыть в коллекции CAPEC →Злоумышленник анализирует двоичный файл или исполняемый файл с целью обнаружения структуры, функций и, возможно, исходного кода файла, применяя разнообразные методы анализа для эффективного определения того, как функционирует и работает программное обеспечение. Данный тип анализа также называется обратной разработкой кода, поскольку существуют методы извлечения исходного кода из исполняемого файла. Для этой цели нередко применяется ряд методов — как по принципу «чёрного ящика», так и «белого ящика». Использование анализаторов компьютерных шин и анализаторов пакетов позволяет изучать двоичный файл на уровне его взаимодействия со средой вычисления, такой как операционная система хоста, межпроцессное взаимодействие и/или сетевой обмен данными. Данный тип анализа относится к категории «чёрного ящика», поскольку предполагает поведенческий анализ программного обеспечения без обращения к исходному коду, объектному коду или спецификациям протокола.
https://capec.mitre.org/data/definitions/190.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| dir-x4860_firmware | * | Отслеживается |