近日,D-Link發布了面向部分DIR型號無線路由器的最新固件,以應對研究人員發現的一個新安全漏洞。
該漏洞由Daniel Romero研究發現,是一個緩沖區溢出漏洞,攻擊者可借助該漏洞在本地或遠程執行任意代碼,因此CERT將此漏洞的CVSS評分為9.3,即會對用戶產生重大影響。
據了解,目前受該漏洞影響的無線路由器包括DIR-850L B1,DIR-822 A1,DIR-823 A1,DIR-895L A1,DIR-890L A1,DIR -885L A1,DIR-880L A1,DIR-868L B1,DIR-868L C1,DIR-817L(W)和DIR-818L(W)。
D-Link已經在第一時間發布了修復該漏洞的新固件(除了DIR-817和DIR-818L,這兩款產品的補丁將于8月底發布),安全專家建議用戶及時升級固件,以修復漏洞。
其實除了D-Link外,近日安全研究人員還發現在數款思科RV系列小型企業路由器上,存在著多個嚴重的高危漏洞。該漏洞涉及到RV110W、RV130W和RV215W等路由器,其包含一個能夠被攻擊者利用的默認賬戶。據了解,通過該賬戶,攻擊者可以獲取路由器設備的root權限(漏洞編號CVE-2015-6397)。然而一般來說,默認帳戶通常應該是只讀的,而不應該具有root權限。
與此同時,思科RV180和RV180W兩款VPN路由器同樣存在漏洞,該安全漏洞會影響到它們的Web配置界面,攻擊者能夠遠程進行身份驗證并以root權限來執行任意代碼(漏洞編號CVE-2016-1430)。此外,它們還存在諸如遠程執行目錄遍歷和訪問系統中任意文件的高危漏洞(漏洞編號CVE-2016-1429)。
據了解,上述漏洞是安全研究員Adam Zielinski和Harri Kuosmanen兩人發現并提交的報告。目前,思科已經針對RV110W、RV130W和RV215W路由器上的漏洞,進行了固件升級。但對于已經停產的RV180、RV180W兩款來說,則沒有推出相應的補丁,仍使用這款設備的用戶需要注意了。
京公網安備 11010502049343號