В октябре 2012 года хакер Superevr выступил на конференции с презентацией уязвимости в очень популярной модели маршрутизатора Linksys WRT54GL. К сожалению, компания Cisco (которая до недавнего времени являлась владельцем Linksys) плохо следит за хакерскими конференциями, потому что данную уязвимость она не закрыла до сих пор.
В январе 2013 года вышел патч с новой прошивкой 4.30.16 (build 4), но в списке изменений указано только исправление для незначительной XSS-уязвимости, в то время как большой баг Cross-Site File Upload (CSFU) так и остался незакрытым.
Хакер Superevr настолько возмущён отсутствием внимания к его работе, что опубликовал большую заметку под заголовком «Не используйте маршрутизаторы Linksys». Он проверил несколько более новых устройств Linksys — и обнаружил катастрофические баги даже в самой новой модели Linksys EA2700 Network Manager N600 Wi_Fi Wireless-N Router, которая вышла в марте этого года.
5 марта хакер отправил письмо с описанием уязвимостей в Cisco (бывший владелец Linksys), а сейчас выложил в открытый доступ информацию о пяти уязвимостях в устройствах Linksys: одной старой в WRT54GL и четырёх новых в EA2700.
- CSRF-уязвимость с загрузкой прошивки Linksys WRT54GL
- XSS-уязвимость в Linksys EA2700
- File Path Traversal уязвимость в Linksys EA2700
- Недостаточная проверка при смене пароля и CSRF-атака в Linksys EA2700
- Уязвимость с разглашением исходного кода в Linksys EA2700
