Problemas y vulnerabilidad en los routers D-Link DIR-600L que fueron anunciadas y que podrían permitir la realización de ataques de cross-site request forgery.

La aplicación web del router puede permitir a los usuarios realizar determinadas acciones mediante peticiones http sin las adecuadas validaciones. Esto podría permitir la realización de ataques del tipo cross-site request forgery (CSRF), que podría permitir por ejemplo el cambio de credenciales administrativas cuando un usuario autenticado visite una página web especialmente creada. 

 
Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. Su mecanismo es sencillo, pero entender como funciona y su impacto no lo es y mucho menos para profesionales ajenos al mundo de la seguridad. El problema reside en que en muchas ocasiones se tiende a infravalorar la peligrosidad de este tipo de fallos. 
http://4.bp.blogspot.com/-6hpdl1Yh_c0/Ul_bU_RFGZI/AAAAAAAAC58/7bgUH2d5uC0/s1600/CSRF.png
 
Se ha publicado una prueba de concepto del problema, disponible en: 
http://www.exploit-db.com/exploits/32385/ 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/03/vulnerabilidad-cross-site-request.html#comments
 
Más información:
 
Dlink DIR-600L Hardware Version AX Firmware Version 1.00 – CSRF Vulnerability
http://www.exploit-db.com/exploits/32385/

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar