Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Wi-Fi kredentzialen ihesa Orange-ren Livebox routerretan

Argitalpen data: 2018/12/28

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Livebox Arcadyan ARV7519RW22-A-L T VR9 1.2

Azalpena:

Bad Packets LLCko Troy Mursch segurtasun ikertzaileak ahultasun baten berri eman du. Hori baliatuz urruneko erasotzaile batek Livebox 2.1 routerren barne sareko Wi-Fi pasahitza eta SSID eskura litzake.

Konponbidea:

  • Orange Livebox Arcadyan ARV7519 modemaren firmwareari, 00.96.00.96.96.613E bertsioa, akats horren aurkako partxe bat egin zaio.

Xehetasuna:

  • Orange Livebox 00.96.320S gailuek duten ahultasun bat baliatuz, urruneko erasotzaile batek Wi-Fi kredentzialak eskura litzake /get_getnetworkconf.cgi erako GET eskari bat eginez 8080 atakan. Horrela erabateko kontrola lortuko luke administratzailearen pasahitza Wi-Fi pasahitzaren berdina bada, edo administratzailearen balioa lehenetsia baldin badauka. Ahultasun horretarako CVE-2018-20377 identifikatzailea erabili da.
Etiketak: Eguneraketa, Komunikazioak, Ahultasuna