安全研究人员测试了市场上九款流行的路由器,发现了总共226个漏洞,尽管它们运行的是最新的固件版本。此次测试的路由器品牌包括华硕、AVM、D-Link、Netgear、Edimax、TP-Link、Synology和Linksys,并有数百万人使用。
IoT Inspector的研究人员与CHIP magazine合作进行安全测试,重点关注主要由小公司和家庭用户使用的型号。
就漏洞数量而言,TP-Link Archer AX6000排名第一,有32个缺陷;以及Synology RT-2600ac,有30个安全漏洞。
物联网检查员首席技术官兼创始人Florian Lukavsky通过电子邮件告诉BleepingComputer:“对于芯片的路由器评估,供应商向他们提供了主流型号,这些型号升级到了最新的固件版本”。
物联网检查员从红月开始自动分析了这些固件版本,并检查了5000多个CVE和其他安全问题。他们的发现表c明,许多路由器仍然容易受到公开披露的漏洞的攻击,即使有最新的固件,如下表所示:
虽然不是所有的缺陷都有相同的风险,但团队发现了一些影响大多数测试模型的常见问题。
固件使用过时的Linux内核。
过时的多媒体和VPN功能
过度依赖电视剧旧版BusyBox
使用弱密码,如“admin”
纯文本形式的硬编码凭证
IoT Inspector首席执行官简文登伯格(Jan Wendenburg)指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码电视剧。他说:“在首次使用时更改密码并启用自动更新功能必须成为所有物联网设备的标准做法,无二哈和他的白猫师尊论这些设备是在家中使用还是在企业网络中使安全教育平台用”。
研究人赤心巡天员没有公布他们的发现的许多技术细节,只有一个关于excel提取D安居客-Link路由器固件映像的加密密钥的案例。团队找到了一种方法,通过物理UART调g试接口获得D-Link DIR-X1560上的本地权限和shell权限。
接下来,他们使用内置的BusyBox命令转储整个文件系统,然后找到负责解密程序的安装文件。通过分析相应的变量和函数,研究人员最终提取出用于固赤心巡天件加密的AES密钥。
有了这个密钥,威胁就可以发送恶意固件镜像更新,通过设备上安徽疫情的验证检查,就有可能在路由器上植入恶意软件。全磁盘加密可以解决这个问题,可以保证本cba赛程地存储图像的安全性,但这种做法并不常安全教育平台见。安卓手机如何打开.bin文件
