Хакер #305. Многошаговые SQL-инъекции
Arescom NetDSL-800 - маршрутизатор для MSN DSL службы и других крупных DSL провайдеров. В случае MSN, modem/router поставляется с
предварительными установками, включающие уникальное имя пользователя и пароль, которые отличается от имени/пароля учетной записи DSL. Это сделано для того, чтобы пользователь не мог конфигурировать устройство.
Уязвимость обнаружена в последней версии firmware от MSN. Другие провайдеры используют другие версии, которые могут или не могут быть уязвимы. Используя пакетный сниффер и NetDSL Remote Manager от Arescom, удаленный пользователь может раскрыть имя пользователя и пароль и получить доступ к конфигурационному меню. Уязвимость позволяет удаленному пользователю изменять конфигурацию модемов, и даже полностью отключать их. Возможно создать автоматизированный сценарий, который может отключить сразу большое количество модемов, тем самым блокируя доступ в
Интернет многим пользователям.
Уязвимость обнаружена в Arescom NetDSL-800 MSN Firmware 5.4 и выше.