广告

测试华硕、D-Link、TP-Link等9款热门家用路由器发现226个漏洞,你家中招了吗?

2021-12-06 综合报道 阅读:
日前,IoT Inspector 的安全研究人员与 CHIP 杂志合作,对市场上主流的包括华硕、AVM、D-Link、TP-Link等9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。

日前,IoT Inspector 的安全研究人员与 CHIP 杂志合作,对市场上主流的 9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。tUwednc

本次测试的路由器品牌包括华硕、AVM、D-Link、Edimax、Linksys、Netgear、Synology 和 TP-Link。它们都运行了制造商固件的最新版本,而且这些路由器中发现的漏洞很可能存在于同一品牌的其他型号中。tUwednc

以下是 IoT Inspector 和 CHIP 杂志的详细调查结果。tUwednc

调查结果

就漏洞数量而言,排在前列的是 TP-Link Archer AX6000,有 32 个缺陷;以及 Synology RT-2600ac,有 30 个安全漏洞。tUwednc

tUwednc

IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer:“对于 Chip 的路由器评估,供应商向他们提供了主流型号,这些型号被升级到最新的固件版本”。tUwednc

IoT Inspector 自动分析了这些固件版本,并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明,许多路由器仍然容易受到公开披露的漏洞的影响,即使使用最新的固件,如下表所示:tUwednc

tUwednc

虽然不是所有的缺陷都有相同的风险,但该团队发现了一些影响大多数测试机型的常见问题。tUwednc

  • 固件使用过时的 Linux 内核
  • 过时的多媒体和VPN功能
  • 过度依赖旧版本的BusyBox
  • 使用弱的默认密码,如"admin"
  • 以纯文本形式存在的硬编码凭证

IoT Inspector 的首席执行官 Jan Wendenburg 指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示:“在第一次使用时更改密码,并启用自动更新功能,必须成为所有物联网设备的标准做法,无论设备是在家里还是在企业网络中使用”。tUwednc

研究人员没有公布很多关于他们发现的技术细节,只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法,在 D-Link DIR-X1560 上获得本地权限,并通过物理 UART 调试接口获得 shell 权限。tUwednc

tUwednc

接下来,他们使用内置的 BusyBox 命令转储了整个文件系统,然后找到了负责解密程序的安装文件。通过分析相应的变量和函数,研究人员最终提取了用于固件加密的AES密钥。tUwednc

利用该密钥,威胁者可以发送恶意的固件图像更新,以通过设备上的验证检查,有可能在路由器上植入恶意软件。tUwednc

制造商正在解决问题

tUwednc

据 CHIP 杂志报道,九家路由器制造商中的每一家都对这些测试做出了回应,并发布了固件更新以解决其产品中的漏洞。大多数这些修复都是针对“低风险”漏洞的,但这是一个好的开始。tUwednc

以下是每个制造商在调查后采取的行动。tUwednc

请注意,这些要点是从CHIP 的报告(德语)翻译而来的。tUwednc

  • 华硕:华硕检查了我们的发现并为我们提供了详细的答案。华硕修补了过时的 BusyBox,现在更新了“curl”和网络服务器。我们警告的密码问题是进程终止时删除的临时文件。他们不是风险。
  • D-Link:D-Link 感谢我们的提示,并发布了固件更新来解决提到的问题。
  • Edimax:Edimax 并没有花太多精力检查这些问题,而是发布了一个更新来修复一些问题。
  • Linksys:Linksys 将解决归类为“高”和“中”的所有问题。未来将避免使用默认密码,并已针对任何剩余问题发布固件更新。
  • Netgear:Netgear 的工作人员努力工作并检查了所有问题。Netgear 认为其一些“高风险”漏洞没什么大不了的。它已经推送了 DNSmasq 和 iPerf 的更新,但应首先解决其他问题。
  • Synology:Synology 正在解决我们通过 Linux 内核更新发现的问题。BusyBox 和 PHP 将更新,Synology 将清理其证书。有趣的是,所有 Synology 设备都受益于此更新。
  • TP-Link:更新 BusyBox、CURL 和 DNSmasq 消除了 TP-Link 的许多问题。它仍然需要一个新内核,但 TP-Link 计划对其固件进行 50 多个修复。

需要明确的是,IoT Inspector 尚未检查这些补丁是否有效。即使它们 确实有效,这些路由器仍然容易受到已知(并且可能未知)的攻击。tUwednc

如何确保安全?

无论您是否使用受影响的路由器之一,IoT Inspector建议您手动更新路由器的固件并启用自动更新(如果尚未启用)。这样做可确保您的路由器免受最新攻击——或者至少是制造商决定修复的攻击。tUwednc

您还应该设置一个安全的 Wi-Fi 密码并禁用 WPS(Wi-Fi 保护设置)和 UPnP(通用即插即用)等功能,这些功能会使您的网络容易受到恶意软件的攻击,并且经常因为其众多安全漏洞而受到 FBI 的批评。tUwednc

如果您使用的是非常旧的路由器(或 NAS 设备,就此而言),您应该认真考虑升级。旧的网络硬件通常充满了制造商根本不想修补的已知漏洞。tUwednc

此外,这种问题可以通过全盘加密来解决,这种加密可以保证本地存储的图像的安全,但这种做法并不常见。tUwednc

责编:DemitUwednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 台积电、联电校招万人,业内人士:行业薪资达十年来最高水 近日,台积电、联电开启了校招活动,其中,台积电预计招募超过8000名新员工、联电预计招募 2000 名人才,硕士毕业工程师平均年薪上看200万新台币,约合人民币45万元。晶圆厂们大手笔扩招源于晶圆厂们2021年的“疯狂”扩产。
  • 黑客“开源”英伟达后续:开源三星源代码,下一个是高通 此前英伟达遭到了黑客组织的网络攻击,导致超过1TB的数据泄露,由于与英伟达交涉不畅,黑客组织现在正试图将窃取的信息出售给第三方。与此同时,黑客又“帮”三星把代码给开源了,顺便还把高通也捎上了。
  • 英特尔、AMD、Arm等九大企业宣布UCIe开放标准,推动Chip 英特尔、AMD、Arm 和所有领先的代工厂商齐聚一堂,包括高通、三星、台积电、日月光,以及Google Cloud、Meta、微软,宣布他们正在为小芯片互连制定一个新的开放标准Universal Chiplet Interconnect Express (UCIe),希望以UCIe 1.0规范建立芯片互连、兼容运作,让更多业者能依照此标准打造新款处理器,并且能配合不同微芯片建构差异化设计。
  • 从技术角度分析,GaN和SiC功率器件上量还欠什么? 氮化镓(GaN)和碳化硅(SiC)这两种新器件正在推动电力电子行业发生重大变化,它们在汽车、数据中心、可再生能源、航空航天和电机驱动等多个行业取得了长足的进步。在由AspenCore集团举办的PowerUP Expo大会上,演讲嘉宾们深入探讨了包括GaN和SiC在内的宽禁带(WBG)器件的技术优势以及发展趋势。
  • 美国商务部宣布对俄罗斯出口限制:在技术上孤立并削弱其 美国时间2022 年 2 月 24 日,美国商务部通过其工业和安全局 (BIS) 对俄罗斯进一步入侵乌克兰作出回应,实施了一系列全面的严格出口管制措施,这些管制措施将严重限制俄罗斯获得其需要维持的技术和其他物品其侵略性的军事能力。
  • 电子工业落后的俄罗斯“秒赢”乌克兰,电子作战系统强在 2月24日,俄罗斯总统普京决定在顿巴斯开展特别军事行动,然而,开战一小时后,俄罗斯国防部称,高精度武器正在让乌克兰空军的军事基础设施、防空设备、军用机场和航空队失去战斗能力。那么俄罗斯这个战斗民族,在半导体、科技方面到底有哪些特色呢?
  • 2022年五个值得关注的半导体行业趋势 众所周知,2021年的半导体需求不寻常,而且有些膨胀。与疫情相关的IC短缺和供应问题导致客户将订单增加了约15%,供应商将价格提高了约15%。这种恶化的需求比正常需求高出约30%。知道了这一点,2020年有望以以下趋势卷土重来:
  • 动力电池回收价格飙升,优化回收过程新发现 目前引起很多兴趣的一种方法是将热预处理和湿法冶金相结合,其中使用水化学来回收金属。几家公司正在开发将使用这种组合的系统,但瑞典查尔姆斯理工大学的研究人员发现,这些公司在其工艺中使用的温度和时间差异很大,因此非常需要进行比较研究来确定回收锂离子电池的最佳热处理和湿法冶金工艺。
  • 盘点北京冬奥会闭幕式上的中国科技 昨夜,2022北京冬奥会圆满收官。从开幕式综合运用人工智能、5G、裸眼3D和云计算等多种科技成果起,人工智能、8K+5G转播、数字孪生、智能机器人、辅助驾驶、虚拟数字人等新兴技术齐上阵,为冬奥会保驾护航。到闭幕式的数字表演与仿真技术、100%国产设备挑大梁以及以火箭运载思路设计的电池系统等,让中国科技在世界面前大放异彩。
  • 北京冬奥曝光的保密项目“中国AI教练”,国际媒体都“酸 在北京冬奥会自由式滑雪女子空中技巧项目比赛中,中国运动员、冬奥会“四朝元老”徐梦桃以一个近乎完美的动作为中国再添一金,实现了中国自由式滑雪空中技巧队十六年的金牌梦。徐梦桃夺金的背后,名为“观君”的“AI教练”也迅速吸引了人们的注意,体育竞技项目的“人工智能”应用也再次被热议。
  • 运用前瞻技术为中国企业架起与用户互信互联的桥梁 中国互联网络信息中心的最新报告显示,目前中国有超过10亿人使用互联网,占全球互联网用户总数的五分之一以上,网络交流和数字化的互动逐渐成为大多数中国民众的日常。同时,《数据安全法》、《个人信息保护法》等有关网络数据安全的法律法规在今年陆续出台并落地实施,信息安全已成为社会热门话题。随着数据和数字化互动的规模升级与体量增长,信任将成为支撑各类关系的重要支柱。
  • Achronix的FPGA技术可优化用于工业4.0及5.0的人工智能 AI、ML和DL将继续推动工业4.0和5.0的发展,使生产力与效率更上层楼。在IoT和5G技术的协助下,自动化和机器人将与人类的奇思妙想和创造力融为一体,孕育出人类在10年前未曾想象的制造环境。FPGA促成了传感器融合,能够与众多物联网设备连接,充分把握制造环境下人工智能系统所需的高性能与灵活性之间的平衡。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了