安全研究人员近日发现,成千上万台TP-Link路由器存在严重漏洞,可被威胁行为者用于远程劫持攻击。尽管早就收到了风险曝光,但TP-Link公司花了一年多的时间才在其网站上发布了修复补丁。
1 远程劫持风险
据了解,该漏洞(CVE-2017-13772)允许任何攻击者通过远程操作轻松获得对受影响路由器的完全访问权限,并不需要多高端的黑客技术。原因在于该漏洞依赖路由器的默认密码来工作,而许多用户对路由器设备的出厂默认密码从未修改过。
在最糟糕的情况下,威胁行为者可以大规模针对这些易损路由器设备进行攻击,使用类似Mirai这样的僵尸网络的机制——“地毯式”搜索无线路由网络,并使用“admin”和“pass”等默认密码来劫持路由器。
2 TP-Link迟迟未修复漏洞
英国网络安全公司Fidus Information Security的创始人Andrew Mabbitt ,早在2017年10月就首次发现并披露了针对TP-Link路由器的远程代码执行漏洞。几周后,TP-Link为易受攻击的WR940N路由器发布了一个修补程序。Mabbitt在2018年1月再次提醒TP-Link公司,其另一型号的WR740N路由器也容易受到同样的漏洞利用攻击,因为该公司在这两种型号的路由器上重复使用了易受攻击的代码。
TP-Link当时表示,针对这两种型号的路由器的漏洞很快就被修补了。但是当研究人员仔细检查时,该公司网站上没有发布针对WR740N的修复固件。当被问到时,TP-Link的发言人表示,该修复固件“目前可在技术支持部门要求时提供”,但没有解释为何没有公开发布的原因。在近日媒体曝光后,TP-Link才更新了其官网固件下载页面,其中包含最新的安全更新。距离第一次收到提醒,已长达两年之久。
Mabbitt认为TP-Link公司有责任主动提醒客户并提供安全更新,而非被动等待用户联系以获得技术支持。
3 路由器安全问题堪忧
路由器长期以来因安全问题而臭名昭著,任何存在漏洞的路由器都可能会对其连接的所有设备产生灾难性影响。Mabbitt说,通过获得对路由器的完全控制,攻击者可能会对整个网络造成严重破坏。攻击者修改路由器上的设置会影响连接到同一网络的所有设备,例如更改DNS设置以诱骗用户访问虚假页面以窃取其登录凭据。
TP-Link公司拒绝透露它已销售了多少易受潜在攻击的路由器,但表示WR740N型号在2017年前已经停产。当研究人员在Shodan和Binary Edge(检测暴露设备和数据库的搜索引擎)上搜索时,发现了约129,000到149,000台设备,尽管易受攻击设备的数量可能要低得多。
WR740N型号路由器易受攻击的主要国家(图片来源:Shodan)
无论在英国和美国(加利福尼亚州)都规定出售这些电子设备的公司需要预先设置唯一默认密码,防止僵尸网络大规模劫持互联网连接的设备,并以此使网站离线,无法正常运营。此前,Mirai僵尸网络就曾攻击了域名服务提供商Dyn,在几个小时内离线了其数十个主要网站,包括Twitter、Spotify和SoundCloud。
4 路由器劫持危机
信息窃取
攻击者远程对用户的路由器劫持和监控,甚至可以将该路由器的固件改造成其自制的版本,从而完全接管联网的设备。用户通过该设备上网,有可能跳转到攻击者提前设置好的钓鱼网站,个人隐私、社交网络账号和网银信息等都有被窃取的风险。
黑产作祟
攻击者大肆篡改、劫持用户路由器的DNS地址,其背后广告商也在推波助澜,一条完整的黑色产业链已经形成。这种劫持广告甚至能根据用户浏览的页面内容,定向展示关联广告。如一位患者在百度上搜人流、医院这些关键词,在搜索的结果页面中,就能直接弹出指定医院的广告,链接该院首页。广告利益的驱动使路由器劫持已经形成一条从黑客——投放平台——广告商的完整产业链。
生产商预先设置后门
生厂商自己留有后门程序,以便日后检测、调试需要,但是管理权限易被黑客劫持。目前路由器厂家的主流产品,可能留有一个超级管理权限,在安全防范措施较弱的情况下,这恰恰为黑客劫持路由器提供了最大便利。
如知名厂商D-link在其多款主流路由器产品中,就留下了这样一个严重的后门。用一个roodkcableo28840ybtide的关键密匙,就能通过远程登录,轻松拿到大多数D-link路由器的管理权限。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。