據外媒報道,安全研究公司 Trustwave 已經在 31 款網件(Netgear)路由器上發現了新漏洞,預計至少有上萬臺設備受到影響或面臨風險。Trustwave 披露道:新漏洞使得攻擊者可以發現或完全繞過一臺 Netgear 路由器上的任意密碼并完全控制該設備,包括變更配置、將受感染路由器轉為僵尸網絡的一部分、甚至上載新固件。
如果路由器開放了(默認并未開啟的)互聯網訪問權限,那么一名遠程攻擊者就能夠輕易得逞。
盡管如此,任何可物理接觸到該網絡的人,還是可以輕松通過本地途徑利用缺陷設備上的該漏洞,包括咖啡館、圖書館等公共 Wi-Fi 場所。
鑒于用戶會慣性地在很多地方使用相同的密碼,在取得了設備的管理員密碼之后,攻擊者相當于建立了最初始的立足點,然后遍歷整個網絡上的設備。
萬幸的是,Netgear 方面已經意識到了這些漏洞,當前正在為受影響的路由機型推送新固件(包括使用了 Netgear 固件的聯想 R3220 路由器)。
此外,該公司還重申了其 Bugcrowd 信息披露項目,旨在讓以后的 Bug 匯報工作變得更加方便,從而讓自家產品變得更加安全。
京公網安備 11010502049343號