社区编辑申请
注册/登录
九款热门家用路由器实测:共发现226个漏洞 推荐更换默认密码
安全 漏洞
安全研究人员对市场上主流的 9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。

安全研究人员对市场上主流的 9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。本次测试的路由器品牌包括 Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology 和 Linksys,并被数百万人使用。

IoT Inspector 的研究人员与 CHIP 杂志合作进行了安全测试,重点是主要由小公司和家庭用户使用的型号。

就漏洞数量而言,排在前列的是 TP-Link Archer AX6000,有 32 个缺陷;以及 Synology RT-2600ac,有 30 个安全漏洞。

IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer:“对于 Chip 的路由器评估,供应商向他们提供了主流型号,这些型号被升级到最新的固件版本”。

IoT Inspector 自动分析了这些固件版本,并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明,许多路由器仍然容易受到公开披露的漏洞的影响,即使使用最新的固件,如下表所示:

虽然不是所有的缺陷都有相同的风险,但该团队发现了一些影响大多数测试机型的常见问题。

  • 固件使用过时的 Linux 内核
  • 过时的多媒体和虚拟专用网功能
  • 过度依赖旧版本的BusyBox
  • 使用弱的默认密码,如"admin"
  • 以纯文本形式存在的硬编码凭证

IoT Inspector 的首席执行官 Jan Wendenburg 指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示:“在第一次使用时更改密码,并启用自动更新功能,必须成为所有物联网设备的标准做法,无论设备是在家里还是在企业网络中使用”。

研究人员没有公布很多关于他们发现的技术细节,只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法,在 D-Link DIR-X1560 上获得本地权限,并通过物理 UART 调试接口获得 shell 权限。

接下来,他们使用内置的 BusyBox 命令转储了整个文件系统,然后找到了负责解密程序的安装文件。通过分析相应的变量和函数,研究人员最终提取了用于固件加密的AES密钥。

利用该密钥,威胁者可以发送恶意的固件图像更新,以通过设备上的验证检查,有可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决,这种加密可以保证本地存储的图像的安全,但这种做法并不常见。

 

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-20 13:34:46

漏洞网络攻击

2022-06-20 14:57:50

漏洞安全威胁

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-09 18:04:46

网络攻击网络安全

2022-06-17 11:24:52

2022-06-28 12:14:02

DockerLinux

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-16 07:32:38

VSCodePython插件

2022-06-15 14:40:54

英特尔漏洞

2022-06-06 14:32:36

2022-06-07 14:31:09

K8S网络模型容器网络

2022-06-23 09:22:57

Vue技巧前端

2022-06-06 11:21:22

网络安全工具禁令

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-05-16 07:35:21

Windows远程桌面远程服务器

2022-05-07 09:08:13

路由策略网络规划

2022-06-28 14:01:42

MITOpenAI预训练模型

2022-06-06 06:10:00

密码验证安全

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号