काठमाडौं ।
हवाइजहाजमा इन्टरनेट कनेक्सन प्रदान गर्न कथित रूपमा प्रयोग हुने वायरलेस लान उपकरणहरूमा दुईओटा महत्वपूर्ण कमजोरीहरू फेला परेका छन्।
नेक्रम सेक्युरिटी ल्याब्सका थोमस नुडसेन र सामी युन्सीले त्रुटिहरू पत्ता लगाएका थिए र कन्टेकद्वारा निर्मित फ्लेक्सलान एफएक्स३००० र एफएक्स२००० शृङ्खलाका वायरलेस ल्यान उपकरणहरूमा उक्त कमजोरीले असर पारेका थिए।
“फर्मवेयरको रिभर्स ईन्जिनियरिङ प्रदर्शन गरेपछि, हामीले पत्ता लगायौं कि वायरलेस ल्यान म्यानेजर इन्टरफेसमा सूचीबद्ध नगरिएको लुकेको पृष्ठले रूट विशेषाधिकारहरूका साथ यन्त्रमा लिनक्स आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ,” सुरक्षा अनुसन्धानकर्ताहरूले एउटा सल्लाहमा जोखिम ट्र्याक गरिएको सीभीइ–२०२२–३६१५८ लाई उल्लेख गर्दै लेखेको इन्फोसेक्युरिटी म्यागजिनले उल्लेख गरेको छ।
“यहाँबाट, हामीसँग सबै प्रणाली फाइलहरूमा पहुँच थियो तर टेलनेट पोर्ट खोल्न र उपकरणमा पूर्ण पहुँच गर्न सक्षम हुनेथियौं।”
नुडसेन र युन्सीले एडभाइजरीमा (ट्र्याक गरिएको सीभीइ-२०२२-३६१५९) मा दोस्रो कमजोरी पनि वर्णन गरे, यसले कमजोर हार्ड-कोड गरिएको क्रिप्टोग्राफिक कीहरू र ब्याकडोर खाताहरूको प्रयोगलाई जनाउँछ।
“हाम्रो अनुसन्धानको क्रममा, हामीले यो पनि फेला पार्यौं कि /etc/shadow फाइलमा दुई प्रयोगकर्ताहरू (रूट र प्रयोगकर्ता) को ह्यास समावेश छ, जसले हामीलाई ब्रूट-फोर्स आक्रमणबाट पुन: प्राप्ति गर्न केही मिनेट मात्र लियो,” नेक्रम सेक्युरिटी ल्याब्सले लेखेको छ।
सुरक्षा विज्ञहरूका अनुसार, यहाँ मुद्दा यो हो कि डिभाइस मालिकले वेब प्रशासन इन्टरफेसबाट खाता प्रयोगकर्ताको पासवर्ड मात्र परिवर्तन गर्न सक्छ किनभने रूट खाता (सायद मर्मत उद्देश्यका लागि) को लागि आरक्षित छ।
“यसको मतलब रूट हार्ड-कोड गरिएको पासवर्डको साथ आक्रमणकारीले सबै एफएक्सए२००० श्रृंखला र एफएक्सए३००० श्रृंखलाका डिभाइसहरूमा पहुँच गर्न सक्छ,” नुडसेन र युन्सीले व्याख्या गरे।
यी कमजोरीलाई ठीक गर्न, अनुसन्धानकर्ताहरूले लुकेको इन्जिनियरिङ वेब पृष्ठ उपकरणहरूबाट हटाउनु पर्ने र फरक पासवर्ड बनाउन सुझाब दिएका छन्।
प्रकाशित: १७ आश्विन २०७९, सोमबार
