漏洞概要
以下安全公告描述了在D-Link DSL-6850U BZ_1.00.01 – BZ_1.00.09中的发现的两个漏洞。
D-Link DSL-6850U是一款“以色列Bezeq制造的路由器”,在这款路由器中发现的漏洞是:
- 默认凭证
- 远程命令执行
漏洞提交者
一位独立的安全研究人员向 Beyond Security 的 SSD 报告了该漏洞
厂商响应
Bezeq在6月9日被告知了这个漏洞,并且发布了补丁来解决这些漏洞。
漏洞详细信息
该设备定制的固件存在以下问题:
- 默认启用远程Web管理
- 不能禁用默认帐户
默认凭证
默认帐户用户名是:support
密码是:support
远程命令执行
shell界面只允许执行一组内置命令,但是你可以通过’&’ ‘||’
插入命令到shell:
echo && /bin/bash
上述命令执行后返回一个BusyBox shell
