Límite de velocidad de omisión en el enrutador doméstico

2

Estoy estudiando Seguridad de la Información y estaba hurgando en el enrutador de mi casa (es barato) con una secuencia de comandos de Python que intenta forzar la contraseña de administrador de la interfaz web (utiliza HTTP básico y el servidor es micro_httpd). / p>

Descubrí que al pasar el encabezado de autenticación con la solicitud inicial pude eludir la función de limitación de velocidad en el enrutador y golpearla con 10k / min. No hay problema, pero al final obtuve la contraseña.

¿Esto suena como una vulnerabilidad genuina que vale la pena un informe o que se espera de este dispositivo de nivel?

Es el tipo de enrutador que podría estar en uso en los puntos de acceso de los cafés y similares, por lo que podría ver fácilmente cómo podría explotarse si las personas usan una contraseña razonablemente débil para la interfaz de administración.

    
pregunta rb4 17.09.2018 - 13:49
fuente

2 respuestas

4

Verifique si hay un nuevo firmware para su enrutador. Si la hay, obtenga la última versión y vuelva a realizar la prueba (es posible que el fabricante ya la haya revisado). Si la vulnerabilidad aún existe o no hay una versión más reciente que la suya, entonces sí, infórmelo.

Generalmente, en los modelos medios a bajos, las actualizaciones son más raras y las vulnerabilidades están parcheadas solo en grandes intervalos de tiempo.

    
respondido por el Overmind 17.09.2018 - 14:54
fuente
2

No hay razón para no reportarlo, pero desafortunadamente, se pueden esperar problemas como estos en productos de precios bajos o incluso de precios medios. La seguridad del router wifi actualmente no está en buen estado. Dicho esto, no hay ninguna razón para no esforzarse por mejorar eso, por lo que IMHO no informa.

    
respondido por el Peter Harmann 17.09.2018 - 14:51
fuente

Lea otras preguntas en las etiquetas