广告

测试华硕、D-Link、TP-Link等9款热门家用路由器发现226个漏洞,你家中招了吗?

2021-12-06 14:05:49 综合报道 阅读:
日前,IoT Inspector 的安全研究人员与 CHIP 杂志合作,对市场上主流的包括华硕、AVM、D-Link、TP-Link等9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。

日前,IoT Inspector 的安全研究人员与 CHIP 杂志合作,对市场上主流的 9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。viRednc

本次测试的路由器品牌包括华硕、AVM、D-Link、Edimax、Linksys、Netgear、Synology 和 TP-Link。它们都运行了制造商固件的最新版本,而且这些路由器中发现的漏洞很可能存在于同一品牌的其他型号中。viRednc

以下是 IoT Inspector 和 CHIP 杂志的详细调查结果。viRednc

调查结果

就漏洞数量而言,排在前列的是 TP-Link Archer AX6000,有 32 个缺陷;以及 Synology RT-2600ac,有 30 个安全漏洞。viRednc

viRednc

IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer:“对于 Chip 的路由器评估,供应商向他们提供了主流型号,这些型号被升级到最新的固件版本”。viRednc

IoT Inspector 自动分析了这些固件版本,并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明,许多路由器仍然容易受到公开披露的漏洞的影响,即使使用最新的固件,如下表所示:viRednc

viRednc

虽然不是所有的缺陷都有相同的风险,但该团队发现了一些影响大多数测试机型的常见问题。viRednc

  • 固件使用过时的 Linux 内核
  • 过时的多媒体和VPN功能
  • 过度依赖旧版本的BusyBox
  • 使用弱的默认密码,如"admin"
  • 以纯文本形式存在的硬编码凭证

IoT Inspector 的首席执行官 Jan Wendenburg 指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示:“在第一次使用时更改密码,并启用自动更新功能,必须成为所有物联网设备的标准做法,无论设备是在家里还是在企业网络中使用”。viRednc

研究人员没有公布很多关于他们发现的技术细节,只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法,在 D-Link DIR-X1560 上获得本地权限,并通过物理 UART 调试接口获得 shell 权限。viRednc

viRednc

接下来,他们使用内置的 BusyBox 命令转储了整个文件系统,然后找到了负责解密程序的安装文件。通过分析相应的变量和函数,研究人员最终提取了用于固件加密的AES密钥。viRednc

利用该密钥,威胁者可以发送恶意的固件图像更新,以通过设备上的验证检查,有可能在路由器上植入恶意软件。viRednc

制造商正在解决问题

viRednc

据 CHIP 杂志报道,九家路由器制造商中的每一家都对这些测试做出了回应,并发布了固件更新以解决其产品中的漏洞。大多数这些修复都是针对“低风险”漏洞的,但这是一个好的开始。viRednc

以下是每个制造商在调查后采取的行动。viRednc

请注意,这些要点是从CHIP 的报告(德语)翻译而来的。viRednc

  • 华硕:华硕检查了我们的发现并为我们提供了详细的答案。华硕修补了过时的 BusyBox,现在更新了“curl”和网络服务器。我们警告的密码问题是进程终止时删除的临时文件。他们不是风险。
  • D-Link:D-Link 感谢我们的提示,并发布了固件更新来解决提到的问题。
  • Edimax:Edimax 并没有花太多精力检查这些问题,而是发布了一个更新来修复一些问题。
  • Linksys:Linksys 将解决归类为“高”和“中”的所有问题。未来将避免使用默认密码,并已针对任何剩余问题发布固件更新。
  • Netgear:Netgear 的工作人员努力工作并检查了所有问题。Netgear 认为其一些“高风险”漏洞没什么大不了的。它已经推送了 DNSmasq 和 iPerf 的更新,但应首先解决其他问题。
  • Synology:Synology 正在解决我们通过 Linux 内核更新发现的问题。BusyBox 和 PHP 将更新,Synology 将清理其证书。有趣的是,所有 Synology 设备都受益于此更新。
  • TP-Link:更新 BusyBox、CURL 和 DNSmasq 消除了 TP-Link 的许多问题。它仍然需要一个新内核,但 TP-Link 计划对其固件进行 50 多个修复。

需要明确的是,IoT Inspector 尚未检查这些补丁是否有效。即使它们 确实有效,这些路由器仍然容易受到已知(并且可能未知)的攻击。viRednc

如何确保安全?

无论您是否使用受影响的路由器之一,IoT Inspector建议您手动更新路由器的固件并启用自动更新(如果尚未启用)。这样做可确保您的路由器免受最新攻击——或者至少是制造商决定修复的攻击。viRednc

您还应该设置一个安全的 Wi-Fi 密码并禁用 WPS(Wi-Fi 保护设置)和 UPnP(通用即插即用)等功能,这些功能会使您的网络容易受到恶意软件的攻击,并且经常因为其众多安全漏洞而受到 FBI 的批评。viRednc

如果您使用的是非常旧的路由器(或 NAS 设备,就此而言),您应该认真考虑升级。旧的网络硬件通常充满了制造商根本不想修补的已知漏洞。viRednc

此外,这种问题可以通过全盘加密来解决,这种加密可以保证本地存储的图像的安全,但这种做法并不常见。viRednc

责编:DemiviRednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 深圳允许完全自动驾驶车辆上路,主驾无需坐人 据EDN电子技术设计引援央视财经报道,从8月1日开始,《深圳经济特区智能网联汽车管理条例》正式实施,智能网联汽车列入国家汽车产品目录或者深圳市智能网联汽车产品目录,这也让深圳成为了国内首个允许L3级别自动驾驶车辆合法上路的城市。
  • 理想ONE高速起火烧成光架,其1.2T三缸增程器曾被指隐藏 近期,网络平台上发布了一段理想ONE在行驶过程中,车辆出现起火的视频内容。现场拍摄的灭火后图片显示,该轿车过火后仅剩骨架,车辆前部增程器位置受损严重,车辆尾门已经在过火后从车身主体脱落。此前,曾有国内汽车媒体对一台行驶了10万公里的理想ONE的东安1.2T三缸增程发动机进行拆解,被指隐藏暗病。
  • 上海微系统所使用石墨烯纳米带研制出世界上最小尺寸的 非易失性相变随机存取存储器(PCRAM)被认为是大数据时代新兴海量存储的有希望的候选者之一。然而,相对较高的编程能量阻碍了 PCRAM 中功耗的进一步降低。利用石墨烯的窄边接触可以有效降低每个电池中相变材料的活性体积,从而实现低功耗运行。
  • 可解决工业自动化和IIoT挑战的MCU 工业自动化和工业物联网(IIoT)设计人员的性能要求不断变化。就MCU而言,他们希望获得更快的处理速度、更多的内存、更好的连接性和更多的安全功能。
  • 第三代半导体——碳化硅材料之制程与分析 SiC功率电子是加速电动车时代到来的主要动能。以SiC MOSFET取代目前的Si IGBT,不仅能使电力移转时的能源损耗降低80%以上,同时也可让芯片模块尺寸微缩至原本的1/10,达到延长电动车续航里程及缩短充电时间的功效。
  • 开源软件真的可靠吗? 乍看之下,采用开源软件似乎是个不错的办法,但归根究底,开源软件有几个特性可能会使其变得“邪恶”...
  • GaN是否可靠? GaN产业已经建立一套方法来保证GaN产品的可靠性,因此问题并不在于“GaN是否可靠?”,而是“如何验证GaN的可靠性?”
  • 国际象棋机器人Chessrobot夹断对手手指,意外还是设计缺 据悉,在7月19日的莫斯科国际象棋公开赛期间,一位7岁小男孩疑似因提前走子犯规手,意外被“对手”国际象棋机器人Chessrobot夹住手指,造成指骨骨折,该事件登上了热搜榜。该男孩是莫斯科9岁以下最强的30位棋手之一。
  • MIT研究人员发现了一种性能比硅更好的半导体材料 硅是地球上最丰富的元素之一,其纯净形式已成为许多现代技术的基础,从太阳能电池到计算机芯片,但硅作为半导体的特性远非理想。现在,来自 MIT、休斯顿大学和其他机构的一组研究人员发现了一种称为立方砷化硼的材料,这种材料可以克服硅的上述两个限制。其为电子和电洞提供了高迁移率,并具有优良的热导率。研究人员表示,这是迄今为止发现最好的半导体材料,在将来也可能说是最好的材料。
  • 增强型GaN HEMT的漏极电流特性 增强型GaN基高电子迁移率晶体管(HEMT)已经采用两种不同的结构开发出来。这两种增强型结构是金属-绝缘层-半导体(MIS)结构和栅极注入晶体管(GIT)结构。MIS结构具有受电压驱动的小栅极漏电流,而GIT则具有脊形结构和高阈值电压。两者也都有一些缺点。MIS对栅极干扰的可靠性较低,阈值电压较低,而GIT的栅极开关速度较慢,栅极漏电流较大。
  • M2 Pro 和 M2 Max 或是苹果首款采用台积电3nm 工艺的 M1 Pro 和 M1 Max 最多可配置 10 核 CPU 和 32 核 GPU。借助 M2 Pro 和 M2 Max,Apple 有望突破这一门槛,为这两个领域带来更多的核心数量。目前M2 Pro相关的爆料很少,但据称M2 Max 有12 核 GPU 和 38 核 GPU。12 核 CPU 将包括 10 个性能核心和两个能效核心。
  • 美国国土安全部(DHS)被曝大量购买和使用手机定位数据 据EDN电子技术设计了解,美国公民自由联盟18日发表最新文件,称美国国土安全部(DHS)使用移动定位数据来追踪人们的行动,据悉美国公民自由联盟发表的记录多达数千页,其规模远远超过之前的认知。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了