據(jù)外媒報(bào)道，近期信息安全研究員皮埃爾·金(Pierre Kim)公開(kāi)D-Link(友訊)DIR 850L消費(fèi)級(jí)無(wú)線路由器存在的10個(gè)嚴(yán)重漏洞，由于此前與D-Link溝通不暢，還未提前告知該公司漏洞的存在。

據(jù)悉，皮埃爾·金于2017年2月曾告知D-Link 9個(gè)漏洞，但D-Link隨后只修復(fù)了其中一個(gè)漏洞。

此次公開(kāi)的D-Link漏洞涉及多方面問(wèn)題，如缺乏對(duì)固件鏡像的適當(dāng)保護(hù)機(jī)制，意味著黑客可以向目標(biāo)設(shè)備注入包含后門(mén)的惡意拷貝，以及D-Link私有的mydlink云協(xié)議中的漏洞。皮埃爾·金還發(fā)現(xiàn)了遠(yuǎn)程代碼執(zhí)行漏洞、默認(rèn)密鑰，以及DDoS(分布式拒絕服務(wù)攻擊)風(fēng)險(xiǎn)。其他風(fēng)險(xiǎn)還包括跨站腳本攻擊(XSS)、明文存儲(chǔ)密碼，以及LAN后門(mén)等。

皮埃爾·金總結(jié)道：“D-Link 850L是一款設(shè)計(jì)糟糕的路由器，存在大量漏洞。從LAN到WAN，所有一切都存在問(wèn)題?！?

對(duì)此，D-Link尚未做出回應(yīng)，并且目前尚不清楚D-Link是否會(huì)承認(rèn)這些漏洞的存在，以及是否打算修復(fù)這些漏洞。

據(jù)報(bào)道稱，皮埃爾·金在此前與D-Link的溝通中感到不愉快，并表示：“由于此前與D-Link溝通的困難，這次我選擇了完全披露。他們之前沒(méi)有認(rèn)真考慮信息安全問(wèn)題，因此這一次我在沒(méi)有與他們協(xié)調(diào)的情況下公開(kāi)了這項(xiàng)研究。我建議立即斷開(kāi)有漏洞路由器與互聯(lián)網(wǎng)的連接。”

Westermo多個(gè)工業(yè)級(jí)路由器存在高危漏洞

當(dāng)前,網(wǎng)絡(luò)攻擊手法不斷翻新,網(wǎng)絡(luò)安全環(huán)境不斷惡化,甚至工控網(wǎng)絡(luò)也被不法黑客所覬覦。2016年底烏克蘭電網(wǎng)遭受惡意軟件攻擊,致使大量居民斷電。而國(guó)外一家水務(wù)公司的網(wǎng)絡(luò)控制器被攻擊,這些設(shè)備卻管控著用于水處理的有毒化學(xué)物質(zhì)。。。工控網(wǎng)絡(luò)被襲擊的威脅可見(jiàn)一斑。

目前安全研究人員發(fā)現(xiàn),被廣泛用于能源、制造、商業(yè)設(shè)施等領(lǐng)域的數(shù)款Westermo工業(yè)路由器存在著高危漏洞,令這些工控網(wǎng)絡(luò)隨時(shí)可遭受不法黑客的攻擊。根據(jù)外媒報(bào)道,Westermo旗下的MRD-305-DIN、MRD-315、MRD-355和MRD-455工業(yè)路由器固件中存在編號(hào)為CVE-2017-5816的硬編碼漏洞,可暴露SSH和HTTPS證書(shū)及其相關(guān)私鑰。不僅能導(dǎo)致攻擊者進(jìn)行中間人攻擊,并解密流量,還可獲得提升設(shè)備訪問(wèn)權(quán)限的管理員證書(shū)。

同時(shí),還存在編號(hào)CVE-2017-12709的中/高危等級(jí)漏洞,可讓攻擊者通過(guò)用戶名與密碼均為"user"登錄設(shè)備賬戶,雖然該漏洞只能使攻擊者獲得有限的訪問(wèn)權(quán)限。

此外,這些工業(yè)路由器的管理界面中存在幾個(gè)網(wǎng)頁(yè)沒(méi)有使用任何跨站點(diǎn)請(qǐng)求偽造(CSRF)保護(hù),允許攻擊者代表身份驗(yàn)證的用戶執(zhí)行各種操作。

所幸該公司已針對(duì)上述漏洞進(jìn)行了修補(bǔ),建議使用者盡快安裝升級(jí)。

家中無(wú)線路由器存在漏洞 這些你知道嗎

無(wú)線路由器市場(chǎng)競(jìng)爭(zhēng)如火如荼，眾多廠商的旗艦產(chǎn)品和重磅新品令人目不暇接。在無(wú)線路由器幾乎普及到每一個(gè)家庭中的今天，保護(hù)家庭網(wǎng)絡(luò)的安全是用戶的頭等大事。同時(shí)，路由器制造商也需要加強(qiáng)在安全方面的投入，保護(hù)消費(fèi)者免受未來(lái)的任何安全威脅。根據(jù)相關(guān)報(bào)告顯示大約75%的無(wú)線路由器的固件，容易被黑客利用。

可見(jiàn)大多數(shù)家庭正在使用的無(wú)線路由器，并不能100%的保護(hù)用戶的網(wǎng)絡(luò)安全。從我們現(xiàn)實(shí)的生活來(lái)看，家中的無(wú)線路由器基本沒(méi)有遭到攻擊的人們依然占大多數(shù)。不過(guò)，要是有黑客專門(mén)對(duì)您的家中進(jìn)行網(wǎng)絡(luò)攻擊，我們的個(gè)人信息、財(cái)產(chǎn)等，還是會(huì)被對(duì)方獲取。那么是什么原因，讓大多數(shù)用戶的無(wú)線路由器處在安全的狀態(tài)中呢?

發(fā)現(xiàn)陌生設(shè)備要強(qiáng)制斷開(kāi)它的聯(lián)網(wǎng)

網(wǎng)絡(luò)世界中，每天都在上演著攻擊者和防御者的大戰(zhàn)，黑客費(fèi)盡心思的找出系統(tǒng)的漏洞，而廠商和“白帽子”也在全力以赴的修復(fù)這些bug，關(guān)閉攻擊的入口。單槍匹馬的黑客，相比于強(qiáng)大的廠商來(lái)說(shuō)，財(cái)力差了不是一星半點(diǎn)兒。廠商可以投入更多的金錢(qián)和更多的人力去查找并彌補(bǔ)這些漏洞，這一優(yōu)勢(shì)太過(guò)明顯，是孑然一身的黑客無(wú)法企及的。

目前，市場(chǎng)上火熱的智能路由器，對(duì)于安全防護(hù)這一塊也非?？粗??？梢詭椭彝ビ脩糇柚贯烎~(yú)網(wǎng)站和有惡意插件的網(wǎng)站，保護(hù)用戶的上網(wǎng)安全。并且這些功能不需要用戶進(jìn)行具體設(shè)置，用戶掏出手機(jī)輕輕一點(diǎn)，就能夠看到自己使用無(wú)線路由器的安全狀況。最后，我們要提醒用戶，無(wú)線路由器的系統(tǒng)要經(jīng)常查看是否有升級(jí)，要隨時(shí)將其升級(jí)到最新版本。系統(tǒng)后臺(tái)和無(wú)線密碼，都要采用復(fù)雜密碼，經(jīng)常查看接入設(shè)備清單，避免陌生設(shè)備入侵。