<p id="34O0VTL7">计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 研究人员发现Wi-Fi联盟测试套件中存在命令注入漏洞,该漏洞的编号为CVE-2024-41992,Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan(智易科技)FMIMG51AX000J路由器上。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1030%2F68dc983ej00sm5qgu00ged000v900hkp.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="34O0VTL9"><strong>01 WiFi测试套件漏洞影响</strong></p><p id="34O0VTLA">CERT/CC在周三发布的公告中表示:“该漏洞允许未经身份验证的本地攻击者通过发送特制的数据包来利用Wi-Fi测试套件,从而能够在受影响的路由器上以root权限执行任意命令。”</p><p id="34O0VTLB">Wi-Fi 测试套件是Wi-Fi 联盟开发的集成平台,可自动测试 Wi-Fi 组件或设备。虽然该工具包的开源组件是公开的,但完整套件仅供其成员使用。</p><p id="34O0VTLC"><strong>02 WiFi测试套件漏洞被发现</strong></p><p id="34O0VTLD">SSD Secure Disclosure(漏洞报告公司)于 2024 年 8 月发布了该漏洞的详细信息,称这是一个命令注入案例,可能使威胁行为者能够以 root 权限执行命令。该漏洞最初于 2024 年 4 月报告给 Wi-Fi 联盟。</p><p id="34O0VTLE">一位独立研究员,其网名为“fj016”,发现并报告了这些安全漏洞,这位研究员还提供了该漏洞的概念验证 (PoC) 漏洞利用程序。</p><p id="34O0VTLF">CERT/CC 指出,Wi-Fi 测试套件不适用于生产环境,但已在商业路由器部署中发现。</p><p id="34O0VTLG">报告称:“成功利用此漏洞的攻击者可以完全控制受影响的设备。”</p><p id="34O0VTLH">“通过此访问权限,攻击者可以修改系统设置,破坏关键网络服务或完全重置设备。这些操作可能导致服务中断,网络数据泄露,并可能导致所有依赖受影响网络的用户失去服务。”</p><p id="34O0VTLI">由于智易科技股份有限公司未发布补丁,建议其他已包含 Wi-Fi 测试套件的供应商将其从生产设备中完全删除或将其更新至 9.0 或更高版本,以降低被利用的风险。</p> 讯享网
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/157308.html