示意图,与新闻事件无关。
图片来源:Netgear
来自Trustwave的安全研究人员Simon Kenin于本周披露,Netgear旗下的31款路由器含有密码外洩漏洞,若未波及上百万台也至少影响数十万台的Netgear装置。Netgear则已释出部份路由器的韧体更新,以及其他路由器的暂时解决方案。
此一编号为CVE-2017-5521的安全漏洞存在于31款Netgear路由器的韧体中。根据漏洞说明,当使用者存取路由器的网路介面并取消认证时,若未启用密码回复功能,即会被引导到另一个曝露密码回复令牌的页面,在提供了正确的令牌之后,即可取得路由器的管理员密码。
骇客除了可藉由LAN或WLAN开採该漏洞之外,若使用者于路由器上启用了远端管理功能,亦将允许骇客自远端展开攻击。Netgear路由器远端管理功能的预设值是关闭的,另一方面,若启用了密码回复功能,针对该漏洞的攻击也会失效。
Kenin说他早在一年前就发现了该漏洞,于去年4月通知Netgear,但Netgear的修补进度缓慢,而且沟通不良,一直到最近才有积极的动作。
Kenin表示,Netgear除了已经列出修补时间表之外,也与第三方的Bugcrowd合作祭出抓漏奖励计画,相信可大幅改善该公司与外部研究人员的关係。
该漏洞的严重性除了来自于它波及了数十万台的Netgear装置之外,管理员密码的外洩也让骇客可全权掌控该路由器,包括更改路由器的DNS设定以将使用者导向恶意网站,或是用来执行分散式阻断服务攻击(DDoS),也能把它们变成殭尸网路的成员。
在31款受到影响的路由器中,Netgear已经更新了其中19款的韧体,并针对尚未修补的装置提出暂时解决方案,建议使用者启用路由器的密码回复功能,以及关闭远端管理功能。
该漏洞也殃及使用Netgear韧体的其他品牌路由器,像是联想的Lenovo R3220。?
I 相关 / Other
WordPress修补XSS与SQL injection等三个安全漏洞
WordPress上周四(1/26)释出了WordPress 4.7.2,修补3个安全漏洞,包含一个跨站指令码(Cross-site Scripting,XSS)漏洞与一个资料隐码(SQL injection)漏洞。WordPress此次的修补距离上次只有15天,而且强烈(st
骇客可利用Facebook漏洞,删除用户任何影片 图片来源: Dan Melamed 资安研究人员Dan Melamed于23日在部落格揭露,Facebook有个严重的原始码漏洞,允许骇客不用取得特定的身分权限或是身分验证,就能利用该漏洞删除
研究人员:已修补的Linux Systemd v288漏洞被低估,骇客可取得最高权限
图片来源: Sebastian Krahmer 安全研究人员Sebastian Krahmer本周指出 ,Linux平台所使用的初始化系统systemd v228曾被修补的漏洞并不如当初以为的那幺简单,而是可能允许骇客取得装置的最高权限。2015年10月时,sy
辜成允在晶华酒店下楼梯时摔伤不治,楼梯使用安全引各界关注,北市都发局表示,按规定楼梯宽超过 3米须加设中间扶手,将协助晶华酒店改善,晶华表示,会全力配合。台湾水泥公司董事长辜成允21日晚间在台北巿晶华酒店
Firefox 51加入Chrome行列,将含密码的HTTP网页标示为不安全
Firefox 51开始,若HTTP页面要求输入密码等机密资讯,浏览器网址列将现示锁头加上红色斜线。 继Google Chrome之后,Mozilla近日也宣布预计于今年1月出炉的Firefox 51将把含有密码等机密资讯栏位的HTTP网页标示为不