Se
ha anunciado una
vulnerabilidad en los routers D-Link DIR-600L, que podría permitir la realización de ataques de cross-site request forgery.
La aplicación web del router puede
permitir a los usuarios realizar determinadas acciones mediante peticiones http
sin las adecuadas validaciones. Esto podría permitir la realización de ataques
del tipo cross-site request forgery, que podría permitir por ejemplo el cambio
de credenciales administrativas cuando un usuario autenticado visite una página
web especialmente creada.
Este tipo de vulnerabilidad
permite a un atacante ejecutar funcionalidades de una web determinada a través
de la sesión de otro usuario en esa web. Su mecanismo es sencillo, pero
entender como funciona y su impacto no lo es y mucho menos para profesionales
ajenos al mundo de la seguridad. El problema reside en que en muchas ocasiones se
tiende a infravalorar la peligrosidad de este tipo de fallos.
Se ha publicado una prueba de concepto del problema, disponible en:
 |
| Esquema de funcionamiento de ataques Cross-Site Request Forgery (CSRF) |
Más información:
Dlink DIR-600L Hardware Version
AX Firmware Version 1.00 - CSRF Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario