Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/Vulnerabilidades/Vulnerabilidad Cross-Site Request Forgery en routers D-Link DIR-600L

Vulnerabilidad Cross-Site Request Forgery en routers D-Link DIR-600L

Por Deja un comentario

Se ha anunciado una vulnerabilidad en los routers D-Link DIR-600L, que podría permitir la realización de ataques de cross-site request forgery.
La aplicación web del router puede permitir a los usuarios realizar determinadas acciones mediante peticiones http sin las adecuadas validaciones. Esto podría permitir la realización de ataques del tipo cross-site request forgery, que podría permitir por ejemplo el cambio de credenciales administrativas cuando un usuario autenticado visite una página web especialmente creada.
Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. Su mecanismo es sencillo, pero entender como funciona y su impacto no lo es y mucho menos para profesionales ajenos al mundo de la seguridad. El problema reside en que en muchas ocasiones se tiende a infravalorar la peligrosidad de este tipo de fallos.
Se ha publicado una prueba de concepto del problema, disponible en:
http://www.exploit-db.com/exploits/32385/

Esquema de funcionamiento de ataques Cross-Site Request Forgery (CSRF)

Más información:
Dlink DIR-600L Hardware Version AX Firmware Version 1.00 – CSRF Vulnerability
http://www.exploit-db.com/exploits/32385/
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.