Netgear部分路由器存在容易被黑客攻擊的漏洞,在未經(jīng)允許的情況下,黑客可以完全控制數(shù)以千計(jì)的家庭網(wǎng)絡(luò)設(shè)備,并誘導(dǎo)人們陷入可怕的僵尸網(wǎng)絡(luò)。雖然Netgear終于推出了一些嘗試性的修補(bǔ)程序,但是修補(bǔ)所有漏洞的推遲和挑戰(zhàn)說(shuō)明了物聯(lián)網(wǎng)風(fēng)險(xiǎn)是什么樣子,以及一旦出錯(cuò),對(duì)其進(jìn)行修補(bǔ)是多么困難。
安全研究人員Andrew Rollins曾在今年8月25日將該漏洞上報(bào)給Netgear,但是他說(shuō)該公司從未回應(yīng)過(guò)他。等了三個(gè)多月后仍沒(méi)有回應(yīng),于是他公開(kāi)披露了該漏洞,并且上周五國(guó)土安全部CERT小組發(fā)布了相關(guān)公告。它的建議是?拔插頭?
CERT通知上說(shuō):“利用此漏洞有點(diǎn)麻煩,那些有這種風(fēng)險(xiǎn)的用戶在漏洞修復(fù)之前應(yīng)當(dāng)考慮中止使用受影響的設(shè)備。”該漏洞允許黑客在未經(jīng)身份驗(yàn)證的情況下進(jìn)入管理界面,然后執(zhí)行惡意命令,這可能會(huì)導(dǎo)致整個(gè)系統(tǒng)崩潰。
最初,Netgear在本周末表示三款產(chǎn)品“可能易受攻擊”,而現(xiàn)在確認(rèn)有8個(gè)路由器型號(hào)(R6250、R6400、R6700、R7000、R7100LG、R7300、R7900、R8000)受到影響,其中包括亞馬遜上最受歡迎的3款路由器。Netgear仍然拒絕評(píng)論為什么需要這么長(zhǎng)時(shí)間發(fā)布生產(chǎn)級(jí)固件更新。公司在一份聲明中表示:“對(duì)于那些使用Netgear產(chǎn)品的用戶,我們正努力獲取并維持他們的信任。”
周二,Netgear最終發(fā)布了某些型號(hào)的測(cè)試版補(bǔ)丁,但是公司表示這些修復(fù)沒(méi)有經(jīng)過(guò)全面測(cè)試,而且“有可能無(wú)法為所有用戶使用。”更糟糕的是,Netgear用戶必須自己安裝固件,公司沒(méi)有推出無(wú)線更新流程,用戶必須自己動(dòng)手安裝。不管怎樣,好歹是官方發(fā)布的補(bǔ)丁。
Rollins說(shuō):“這讓他們看起來(lái)很不稱職,該漏洞并不難修復(fù)。”
上周五,計(jì)算機(jī)科學(xué)研究人員Bas van Schaik發(fā)布了該漏洞的臨時(shí)修復(fù)辦法。他說(shuō):“最令他驚訝的是,Netgear在幾個(gè)月之前就被告知這個(gè)漏洞,但是卻沒(méi)有采取任何行動(dòng)。鑒于該漏洞的嚴(yán)重性,我覺(jué)得這很令人不解。”
如果可以的話,使用受到影響的路由器用戶應(yīng)該下載測(cè)試版補(bǔ)丁,如果不行,那就采用van Schaik的解決辦法(CERT也推薦使用)。另一個(gè)辦法是斷開(kāi)路由器,直到Netgear發(fā)布最終的固件更新。
物聯(lián)網(wǎng)警鐘
不知道有多少Netgear路由器被入侵,而如今漏洞已經(jīng)公開(kāi),用戶應(yīng)當(dāng)想想自己所面臨的風(fēng)險(xiǎn)。然而,該事件引發(fā)了物聯(lián)網(wǎng)設(shè)備面臨的更大問(wèn)題。最重要的是,如果真的出現(xiàn)問(wèn)題,解決這個(gè)問(wèn)題是多么困難。
數(shù)百萬(wàn)的物聯(lián)網(wǎng)設(shè)備很容易通過(guò)一個(gè)漏洞或者其他遭到控制,這逐漸導(dǎo)致了物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的形成,攻擊者通過(guò)惡意軟件入侵大批設(shè)備,然后利用其發(fā)起攻擊。發(fā)現(xiàn)漏洞是與之作戰(zhàn)的第一步,但是更大的挑戰(zhàn)是一旦發(fā)現(xiàn)錯(cuò)誤,就需要對(duì)他們進(jìn)行保護(hù)。人們很少觀察他們的路由器,遠(yuǎn)不及他們跟電腦交互的次數(shù)。而且,與受感染的電腦不同,它沒(méi)有警報(bào)或者清楚的跡象表明出現(xiàn)問(wèn)題。物聯(lián)網(wǎng)設(shè)備很難診斷,更難以修復(fù)。
安全公司BeyondTrust技術(shù)副總裁Morey Haber表示:“對(duì)于為用戶升級(jí)的通知和程序而言,它必須達(dá)到一個(gè)足夠簡(jiǎn)單的水平,否則我們最終會(huì)遇到問(wèn)題。有很多設(shè)備,它們非常復(fù)雜,更新一次也非常困難,并且人們甚至不知道這些設(shè)備存在風(fēng)險(xiǎn)。”
只要設(shè)備易受攻擊,攻擊者就會(huì)積極地利用他們。這是一個(gè)惡性循環(huán),很多Netgear用戶正在經(jīng)受這一循環(huán)。
京公網(wǎng)安備 11010502049343號(hào)