家庭路由器哪家强:固件漏洞多年不修复,更新无济于事
?聚焦源代碼安全,網羅國內外最新資訊!
編譯:奇安信代碼衛士團隊
德國弗勞恩霍夫通信技術研究所?(FKIE)?研究了7個品牌的127款家庭路由器,旨在分析它們的最新固件版本中是否存在已知的安全漏洞,結果讓人大跌眼鏡。
固件更新未修復已知漏洞
FKIE 研究發現,其中46款路由器在過去一年中并未進行安全更新,很多路由器受數百個已知漏洞的影響。另外,研究發現廠商推出的固件更新并未修復已知漏洞,這意味著即使客戶安裝了廠商提供的最新固件版本,路由器仍然易受攻擊。
FKIE 評估后認為華碩 (ASUS) 和網件 (Netgear) 在加固路由器安全方面所作的工作要好于 D-Link、Linksys、TP-Link 和 Zyxel,不過該公司表示路由器行業仍然需要更加努力,保護家庭路由器的安全。
私鑰遭公開,Linux OS 老舊
FKIE 分析發現,德國路由器廠商 AVM 是唯一一個未公布其路由器固件私鑰的廠商。Netgear R6800 路由器中含有13個私鑰。在最差的情況下,有些路由器甚至在五年的時間里從未更新過。
研究發現,90%的路由器使用的是 Linux 操作系統。然而,廠商并未安裝 Linux 內核維護人員提供的修復方案更新操作系統。
FKIE 網絡分析防御部門的一名科學家 Johannes vom Dorp 表示,“Linux 繼續解決操作系統中的漏洞問題并開發新功能。所有廠商必須做的事情是安裝最新軟件版本,但他們的集成程度并未達到能夠且應該到達的水平。很多路由器的密碼要么易于猜測要么易于破解,或者用的是用戶無法更改的硬編碼憑據。
研究根據固件鏡像中的五個關鍵指標評估每個廠商的網絡安全措施,包括:距離最后一次固件更新的時間有多久、運行路由器的操作系統版本的老舊程度、使用exploit 緩解技術、私鑰的材料是否為私有以及是否存在硬編碼的登陸憑據。
廠商打補丁不及時
FKIE 總結稱,從安全更新的交付角度來看,路由器廠商遠遠落后于操作系統廠商。該公司指出,“路由器廠商的更新策略遠遠落后于桌面或服務器操作系統的標準。多數設備基于 Linux 操作系統,而 Linux 內核和其他開源軟件每年多次發布補丁。這意味著廠商能夠更加頻繁地將安全補丁分發到設備,但他們沒有這么做。”
這一結果和2018年美國消費者研究所 (ACI) 開展的針對美國路由器的調查結果一致。ACI 分析了14家廠商的186款小型辦公/家庭辦公室的無線路由器。結果發現,155款也就是83%的樣本固件中存在漏洞,而且每款路由器中平均含有172個漏洞。ACI 批評路由器廠商未提供自動更新機制更新路由器。通常只在發生高級別的路由器攻擊活動(如 Mirai IoT 惡意軟件和受國家支持的 VPNFilter 惡意軟件)之后才會推出更新。
一名研究員最近從79款 Netgear 路由器型號中發現一個可遠程利用的缺陷。談到 exploit 緩解措施時,他還發現 Netgear 的 web 管理面板從未應用 exploit 緩解技術 ASLR,導致遠程攻擊者接管受影響路由器的門檻降低。
FKIE 還發現,超過三分之一的設備使用內核版本 2.6.36 或更老版本,但早在2011年2月該版本的最新更新已發布。該公司還發現一款 Linksys WRT54GL 路由器在2002年發布的 Linux 內核版本 2.4.20上運行。報告指出,“最糟糕的高危 CVE 漏洞案例是,Linksys WRT54GL 受最老舊內核推動。影響該產品的高危CVE漏洞共有570個。
報告全文可見:
https://www.fkie.fraunhofer.de/content/dam/fkie/de/documents/HomeRouter/HomeRouterSecurity_2020_Bericht.pdf
推薦閱讀
這個嚴重 0day 可導致79款 Netgear 路由器遭遠程接管,無補丁
D-Link 老款路由器被曝多個高危漏洞,未完全修復
思科警告:IOS 路由器中含有多個嚴重缺陷,可導致“系統完全受陷”
原文鏈接
https://www.zdnet.com/article/home-router-warning-theyre-riddled-with-known-flaws-and-run-ancient-unpatched-linux/
題圖:Pixabay License
本文由奇安信代碼衛士編譯,不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 www.codesafe.cn”。
奇安信代碼衛士 (codesafe)
國內首個專注于軟件開發安全的
產品線。
? ??點個?“在看” ,加油鴨~
總結
以上是生活随笔為你收集整理的家庭路由器哪家强:固件漏洞多年不修复,更新无济于事的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 1月书讯:Hello 2021! (下)
- 下一篇: oracle 查看日志组切换状态_Ora