แฮ็กเกอร์เจาะเราเตอร์ Motorola MR2600 ผ่านกระบวนการอัปเดตเฟิร์มแวร์ — รันโค้ดได้โดยไม่ต้องล็อกอิน

นักวิจัย MrBruh เปิดเผยช่องโหว่รันโค้ดจากระยะไกลแบบไม่ต้องยืนยันตัวตนในเราเตอร์ Wi-Fi Motorola MR2600 ที่เปิดให้ผู้โจมตีในเครือข่ายภายในอัปโหลดและติดตั้งเฟิร์มแวร์อันตรายโดยไม่ต้องล็อกอิน อาศัยข้อบกพร่อง 2 จุด คือตัวจัดการอัปโหลดบันทึกไฟล์ก่อนเช็กสิทธิ์ และตรรกะยืนยันตัวตนที่จับคู่ URL ไม่สม่ำเสมอจนถูกข้ามได้ เนื่องจากไม่มีการเซ็นเฟิร์มแวร์ด้วยลายเซ็นดิจิทัล ผู้โจมตีจึงสร้างเฟิร์มแวร์ปลอมที่ผ่านการตรวจได้ อุปกรณ์นี้เป็น End-of-life แนะนำให้ปิด remote management และเปลี่ยนอุปกรณ์








