近年來,隨著無線終端的大量普及,無線路由器產品也不斷推陳出新,其中能夠為消費者帶來便捷應用的智能路由器,更成為該產品線上的一類重要分支。不過,近期以智能路由器為噱頭的必虎(BHU)智能路由器,卻被曝出存在多個安全漏洞,甚至引發(fā)國外媒體的關注。
必虎智能路由器曝出存在多個安全漏洞
按照研究人員在IOActive上發(fā)布的安全公告顯示,必虎智能路由器在用戶的身份驗證機制上存在漏洞,攻擊者無需身份驗證,即可訪問存儲在系統(tǒng)日志中的敏感數(shù)據(jù)。不僅如此,攻擊者還能以root權限在路由器上執(zhí)行系統(tǒng)級別的控制命令。
必虎智能路由器
此外,該路由器默認還啟用了隱藏用戶、SSH、硬編碼root密碼等功能,而且它還會向所有用戶的HTTP通信數(shù)據(jù)中注入第三方的JavaScript腳本文件。
例如,攻擊者能夠使用數(shù)值為700000000000000的硬編碼會話ID(SID)來獲得管理員權限。即使他拼錯SID或將數(shù)值降為零,同樣也沒問題,該路由器能夠接受任何數(shù)值,仍然可授予用戶管理員權限。
更糟糕的是,攻擊者可以通過本地網(wǎng)絡的特殊URL來訪問包含用戶敏感數(shù)據(jù)的路由器系統(tǒng)日志。攻擊者可以查看用戶登錄日志,并從那里獲取到管理員的SID。事實上,研究人員發(fā)現(xiàn)的硬編碼SID值,相當于一個隱藏的后門。
此外,研究人員發(fā)現(xiàn),該路由器每次啟動WAN連接,就會打開SSH端口,這就意味著任何攻擊者可以通過互聯(lián)網(wǎng)訪問的SSH控制臺。
而且,該路由器還能將廣告注入到網(wǎng)絡流量里,因為該路由器的固件包含有內置版本的Privoxy代理軟件。所以,通過這個代理,該路由器可轉移所有用戶的Web通信,并在URL地址為http://chdadd.100msh.com/ad.js的每頁末尾追加一個JavaScript文件。這為攻擊者進行嗅探通信,重寫固件,或改變用戶的流量,注入廣告或惡意軟件提供了可能。
在此希望相關廠商可以快速修補漏洞,以確保用戶的上網(wǎng)安全。
京公網(wǎng)安備 11010502049343號