VU#123336: Уязвимый пример код... Заметка

VU#123336: Уязвимый пример кода WiFi Alliance найден в Arcadyan FMIMG51AX000J

Обнаружена уязвимость внедрения команд в пакете Wi-Fi Test Suite, инструменте, разработанном WiFi Alliance, который был найден на маршрутизаторах Arcadyan. Wi-Fi Test Suite изначально был создан для поддержки программ сертификации и сертификации устройств, но не для использования в производственных средах. Однако он был обнаружен в коммерческих развертываниях маршрутизаторов, что привело к уязвимости в тестовом коде. Эта уязвимость позволяет неавторизованному локальному злоумышленнику эксплуатировать Wi-Fi Test Suite, отправляя специально созданные пакеты, что позволяет выполнить произвольные команды с привилегиями root. Злоумышленник может использовать эту уязвимость, чтобы получить полный административный доступ к уязвимому устройству. С этим доступом злоумышленник может изменить системные настройки, нарушить критические сетевые услуги или сбросить устройство полностью. CERT/CC рекомендует поставщикам обновить Wi-Fi Test Suite до версии 9.0 или более поздней, или удалить его полностью из производственных устройств, чтобы уменьшить риск эксплуатации. Уязвимость получила идентификатор CVE-2024-41992. CERT/CC благодарит отчетчика Noam Rathaus из SSD Disclosure за выявление уязвимости. Рекомендуемое решение предназначено для предотвращения сбоев в работе сервисов, компрометации сетевых данных и потенциальной потери сервиса для всех пользователей, зависящих от уязвимой сети.