研究发现许多流行品牌的路由器和NAS服务器存在安全漏洞易被攻击
路由器已经是我们日常家庭生活必备的网络设备,不论是看视频还是玩游戏最终都需要路由器负责传输网络流量。
因此路由器的安全性直接关乎家庭内网的安全性,若路由器存在缺陷遭到利用则内网连接设备也会出现安全威胁。
然而研究发现许多知名品牌的路由器都或多或少的存在安全漏洞,例如华硕路由、网件路由以及小米路由器等等。
除路由器外在家庭网络设备里NAS即附加网络存储服务器也被发现漏洞 , 涉及到品牌包括群晖、威联通和铁马威。
常见的路由器漏洞都是由于制造商开发的固件存在某些缺陷,例如使用硬编码账号密码、弱密码或者带有标签等。
然而要说通过攻击路由器其实通过其他方法也可以 , 虽然说100种方法有些夸张但是相信我黑客真的有很多手段。
攻陷家庭内网其实现在更多方式是通过物联网设备,包括安卓设备、智能电视、网络摄像头以及其他智能家电等。
多数家庭物联网设备看起来很美好但背后的固件却存在大量问题,对攻击者来说通过物联网设备渗透也是好办法。
如果路由器存在缺陷被黑客拿下则黑客可以劫持整个内网,比如你访问某度时被自动重定向到恶意网站进行钓鱼。
因此路由器的安全还是非常重要的,然而研究人员购买大量路由器进行测试后发现当前路由器的安全性不容乐观。
研究人员在13个品牌的路由器或附加网络存储服务器里发现125个安全漏洞,而攻击者利用漏洞可接管整个设备。
涉及到的品牌包括:Buffalo、群晖、铁马威、合勤、Drobo、华硕、希捷、威联通、联想、网件、小米及TOTO
研究人员表示这些品牌的设备至少都有1个Web漏洞,攻击者借助漏洞可拿下 Shell 权限然后即可远程控制设备。
这些漏洞包括缓冲区溢出、跨站脚本执行、命令注入、SQL注入、绕过验证、跨站请求伪造、伪造文件路径等等。
目前研究人员已经将部分发现的漏洞通报给设备制造商进行修复,建议用户定期检查更新新版本固件确保安全性。
部分品牌网络设备及漏洞概要 | |||||||
品牌/漏洞 | 缓冲区溢出 | 命令注入 | SQL注入 | 绕过身份验证 | 授权绕过 | 跨站请求伪造 | 伪造文件路径 |
Buffalo | ✗ | ✓ | ✗ | ✓ | ✓ | ✗ | ✓ |
群晖 | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
华硕 | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
网件 | ✗ | ✓ | ✗ | ✓ | ✓ | ✗ | ✗ |
铁马威 | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Drobo | ✗ | ✓ | ✗ | ✓ | ✓ | ✗ | ✓ |
合勤 | ✗ | ✓ | ✗ | ✗ | ✗ | ✓ | ✗ |
TOTO | ✗ | ✓ | ✗ | ✓ | ✓ | ✓ | ✗ |
Asustor | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✓ |
希捷 | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✓ |
威联通 | ✗ | ✓ | ✗ | ✗ | ✗ | ✓ | ✓ |
小米 | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
联想 | ✗ | ✓ | ✗ | ✗ | ✗ | ✓ | ✓ |
✗代表存在此漏洞、✓代表不存在此漏洞,蓝点网 制表 |