為了修補兩條路由器產品線所曝出的的漏洞隱患,美國網件(NETGEAR)于近日推出了新的固件升級版本。新固件版本號碼為1.0.0.59,修復了認證繞過漏洞,以及解決了嵌入在舊版本固件上的硬編碼加密密鑰等問題。
NETGEAR針對部分路由器型號推出新固件升級
此前,由美國國家互聯網應急中心(CERT)在卡內基梅隆大學設立的軟件工程研究所曾發布漏洞報告表示,上述漏洞存在于NETGEAR路由器型號D6000和D3600所運行的1.0.0.47和1.0.0.49固件版本中。CERT還警告,其他型號和固件版本也會容易遭受相同的漏洞隱患。
據悉,該漏洞缺陷將會對使用上述路由器產品的用戶個人隱私和數據安全構成威脅。遠程未經認證的攻擊者可以在網絡上獲得對上述路由器的管理員訪問權限,并可以對網絡上的受害者發起中間人攻擊,甚至解密攔截到的通信數據。
所涉路由器漏洞隱患會對用戶個人隱私和數據安全構成威脅
NETGEAR隨后也證實如果用戶開啟了遠程管理,網絡攻擊者便可以利用CVE-2015-8288漏洞,獲得其硬編碼的RSA私鑰以及硬編碼X.509證書和密鑰的訪問權限。而對于這些加密密鑰有些研究的攻擊者,就可以借此輕松地掌控管理員權限,進而對用戶的敏感數據實現攔截。
NETGEAR進一步表示,如果路由器的密碼恢復功能被禁用,利用認證繞過漏洞(CVE-2015-8289),關于密碼的安全密鑰也可能會暴露出來。
據CERT的報告顯示,遠程攻擊者通過訪問“/cgi-bin/passrec.asp(密碼恢復頁)”的源代碼,能夠以明文的方式查看管理員密碼。因此,安全專家建議廠商,應當限制以HTTP的形式直接訪問路由器的Web界面,來降低收到相關攻擊的可能。
在去年12月份,安全研究員Mandar Jadhav對此漏洞進行了報告。據了解,目前路由器型號JNR1010v2、WNR2000v5、JWNR2010v5、WNR614、WNR618、WNR1000v4、WNR2020和WNR2020v2受到上述漏洞影響,相關用戶應當盡快將所涉路由器升級至最新版本。
京公網安備 11010502049343號