近日，Netgear推出補(bǔ)丁以修復(fù)路由器中重大安全漏洞，此前，專家建議用戶完全放棄使用Netgear路由器。該漏洞出現(xiàn)在某些Netgear路由器部署web服務(wù)器時(shí)，它允許未經(jīng)驗(yàn)證用戶注入root權(quán)限命令，本質(zhì)上接管設(shè)備并可執(zhí)行任意代碼。

Tripware公司高級(jí)安全研究工程師Travis Smith稱，這是非常危險(xiǎn)的漏洞。

“允許通過互聯(lián)網(wǎng)遠(yuǎn)程代碼執(zhí)行的漏洞比特權(quán)升級(jí)漏洞更加嚴(yán)重，后者只能發(fā)生在可物理訪問設(shè)備時(shí)，”Smith稱，“通過利用根級(jí)權(quán)限，攻擊者可對(duì)設(shè)備做任何事情，包括監(jiān)控通信或者使用設(shè)備作為支點(diǎn)以攻擊內(nèi)部網(wǎng)絡(luò)中其他設(shè)備。”

名為Acew0rm的攻擊者公布了針對(duì)該漏洞的概念證明漏洞利用，這促使卡內(nèi)基梅隆大學(xué)的CERT軟件工程學(xué)院建議采用極端緩解方法。

“啟用遠(yuǎn)程管理允許受感染的路由器通過WAN直接請(qǐng)求被利用，因此，我們強(qiáng)烈建議用戶禁用遠(yuǎn)程管理，”CERT公告稱，“用戶甚至應(yīng)該考慮停止繼續(xù)使用受感染設(shè)備，直到補(bǔ)丁發(fā)布。”

Lastline公司副總裁Brian Laing稱他贊成CERT的建議。

“我們建議遵循CERT的建議，并考慮禁用和更換這些路由器，”Laing稱，“基于該產(chǎn)品缺乏安全設(shè)計(jì)和充分的測試，還有Netgear對(duì)這個(gè)重大安全漏洞的緩慢響應(yīng)，這讓我們質(zhì)疑Netgear作為安全型供應(yīng)商的可靠性。”

Netgear的安全措施遭到質(zhì)疑，因?yàn)锳cew0rm聲稱在今年8月25日就已經(jīng)向Netgear披露了這個(gè)漏洞，但并未得到他們的回應(yīng)才發(fā)布漏洞利用代碼，CERT公告稱Netgear發(fā)布了自己的公告，并承諾發(fā)布補(bǔ)丁。在本周二Netgear發(fā)布beta版補(bǔ)丁。

Acew0rm聲稱修復(fù)只需要“一兩行代碼”，但Smith稱Netgear安全補(bǔ)丁并不那么容易部署。

“對(duì)關(guān)鍵系統(tǒng)(例如無線路由器)的修復(fù)，添加一兩行代碼來修復(fù)漏洞并不困難。但問題在于需要測試修復(fù)補(bǔ)丁以確保它不僅可修復(fù)漏洞，還不會(huì)引入任何新的漏洞或者破壞現(xiàn)有功能，”Smith稱，“這種簡單的修復(fù)可能需要下游代碼變更，這可能需要重新設(shè)計(jì)整個(gè)系統(tǒng)。”

Laing對(duì)Netgear的反應(yīng)感到失望。

“我們想知道，為什么Netgear花了這么長的時(shí)間來修復(fù)這一關(guān)鍵產(chǎn)品中的關(guān)鍵安全漏洞?beta版代碼在四個(gè)月后才推出，”Laing稱，“考慮到這個(gè)安全漏洞的嚴(yán)重性，這是非常令人擔(dān)憂的事。”