?聚焦源代碼安全，網(wǎng)羅國內(nèi)外最新資訊！

編譯：奇安信代碼衛(wèi)士團(tuán)隊(duì)

德國弗勞恩霍夫通信技術(shù)研究所?(FKIE)?研究了7個(gè)品牌的127款家庭路由器，旨在分析它們的最新固件版本中是否存在已知的安全漏洞，結(jié)果讓人大跌眼鏡。

固件更新未修復(fù)已知漏洞

FKIE 研究發(fā)現(xiàn)，其中46款路由器在過去一年中并未進(jìn)行安全更新，很多路由器受數(shù)百個(gè)已知漏洞的影響。另外，研究發(fā)現(xiàn)廠商推出的固件更新并未修復(fù)已知漏洞，這意味著即使客戶安裝了廠商提供的最新固件版本，路由器仍然易受攻擊。

FKIE 評(píng)估后認(rèn)為華碩 (ASUS) 和網(wǎng)件 (Netgear) 在加固路由器安全方面所作的工作要好于 D-Link、Linksys、TP-Link 和 Zyxel，不過該公司表示路由器行業(yè)仍然需要更加努力，保護(hù)家庭路由器的安全。

私鑰遭公開，Linux OS 老舊

FKIE 分析發(fā)現(xiàn)，德國路由器廠商 AVM 是唯一一個(gè)未公布其路由器固件私鑰的廠商。Netgear R6800 路由器中含有13個(gè)私鑰。在最差的情況下，有些路由器甚至在五年的時(shí)間里從未更新過。

研究發(fā)現(xiàn)，90%的路由器使用的是 Linux 操作系統(tǒng)。然而，廠商并未安裝 Linux 內(nèi)核維護(hù)人員提供的修復(fù)方案更新操作系統(tǒng)。

FKIE 網(wǎng)絡(luò)分析防御部門的一名科學(xué)家 Johannes vom Dorp 表示，“Linux 繼續(xù)解決操作系統(tǒng)中的漏洞問題并開發(fā)新功能。所有廠商必須做的事情是安裝最新軟件版本，但他們的集成程度并未達(dá)到能夠且應(yīng)該到達(dá)的水平。很多路由器的密碼要么易于猜測(cè)要么易于破解，或者用的是用戶無法更改的硬編碼憑據(jù)。

研究根據(jù)固件鏡像中的五個(gè)關(guān)鍵指標(biāo)評(píng)估每個(gè)廠商的網(wǎng)絡(luò)安全措施，包括：距離最后一次固件更新的時(shí)間有多久、運(yùn)行路由器的操作系統(tǒng)版本的老舊程度、使用exploit 緩解技術(shù)、私鑰的材料是否為私有以及是否存在硬編碼的登陸憑據(jù)。

廠商打補(bǔ)丁不及時(shí)

FKIE 總結(jié)稱，從安全更新的交付角度來看，路由器廠商遠(yuǎn)遠(yuǎn)落后于操作系統(tǒng)廠商。該公司指出，“路由器廠商的更新策略遠(yuǎn)遠(yuǎn)落后于桌面或服務(wù)器操作系統(tǒng)的標(biāo)準(zhǔn)。多數(shù)設(shè)備基于 Linux 操作系統(tǒng)，而 Linux 內(nèi)核和其他開源軟件每年多次發(fā)布補(bǔ)丁。這意味著廠商能夠更加頻繁地將安全補(bǔ)丁分發(fā)到設(shè)備，但他們沒有這么做。”

這一結(jié)果和2018年美國消費(fèi)者研究所 (ACI) 開展的針對(duì)美國路由器的調(diào)查結(jié)果一致。ACI 分析了14家廠商的186款小型辦公/家庭辦公室的無線路由器。結(jié)果發(fā)現(xiàn)，155款也就是83%的樣本固件中存在漏洞，而且每款路由器中平均含有172個(gè)漏洞。ACI 批評(píng)路由器廠商未提供自動(dòng)更新機(jī)制更新路由器。通常只在發(fā)生高級(jí)別的路由器攻擊活動(dòng)（如 Mirai IoT 惡意軟件和受國家支持的 VPNFilter 惡意軟件）之后才會(huì)推出更新。

一名研究員最近從79款 Netgear 路由器型號(hào)中發(fā)現(xiàn)一個(gè)可遠(yuǎn)程利用的缺陷。談到 exploit 緩解措施時(shí)，他還發(fā)現(xiàn) Netgear 的 web 管理面板從未應(yīng)用 exploit 緩解技術(shù) ASLR，導(dǎo)致遠(yuǎn)程攻擊者接管受影響路由器的門檻降低。

FKIE 還發(fā)現(xiàn)，超過三分之一的設(shè)備使用內(nèi)核版本 2.6.36 或更老版本，但早在2011年2月該版本的最新更新已發(fā)布。該公司還發(fā)現(xiàn)一款 Linksys WRT54GL 路由器在2002年發(fā)布的 Linux 內(nèi)核版本 2.4.20上運(yùn)行。報(bào)告指出，“最糟糕的高危 CVE 漏洞案例是，Linksys WRT54GL 受最老舊內(nèi)核推動(dòng)。影響該產(chǎn)品的高危CVE漏洞共有570個(gè)。

報(bào)告全文可見：

https://www.fkie.fraunhofer.de/content/dam/fkie/de/documents/HomeRouter/HomeRouterSecurity_2020_Bericht.pdf

推薦閱讀

這個(gè)嚴(yán)重 0day 可導(dǎo)致79款 Netgear 路由器遭遠(yuǎn)程接管，無補(bǔ)丁

D-Link 老款路由器被曝多個(gè)高危漏洞，未完全修復(fù)

思科警告：IOS 路由器中含有多個(gè)嚴(yán)重缺陷，可導(dǎo)致“系統(tǒng)完全受陷”

原文鏈接

https://www.zdnet.com/article/home-router-warning-theyre-riddled-with-known-flaws-and-run-ancient-unpatched-linux/

題圖：Pixabay License

本文由奇安信代碼衛(wèi)士編譯，不代表奇安信觀點(diǎn)。轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 www.codesafe.cn”。

奇安信代碼衛(wèi)士 (codesafe)

國內(nèi)首個(gè)專注于軟件開發(fā)安全的

產(chǎn)品線。

? ??點(diǎn)個(gè)?“在看” ，加油鴨~

總結(jié)

以上是生活随笔為你收集整理的家庭路由器哪家强：固件漏洞多年不修复，更新无济于事的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。