安全研究人员最近发现,成千上万的TP-Link路由器存在严重的漏洞,威胁行为者可以利用这些漏洞进行远程劫持攻击。尽管已经收到风险,但TP-Link花了一年多的时间才在其网站上发布修复程序。
路由器危机,TP-Link面临远程劫持风险
远程劫持风险
据了解,此漏洞(CVE-2017-13772)允许任何攻击者通过远程操作轻松获得对受影响路由器的完全访问权限,并且不需要高端黑客技术。原因是漏洞依赖于路由器的默认密码才能工作,许多用户从未修改过路由器设备的出厂默认密码。
在最坏的情况下,威胁行为者可以大规模攻击这些易受攻击的路由器设备,使用像Mirai——“地毯”僵尸网络这样的机制来搜索无线路由网络,并使用“admin”和“pass”等待默认密码劫持路由器。
TP-Link尚未修复此漏洞
英国网络安全公司Fidus Information Security的创始人Andrew Mabbitt于2017年10月首次发现并披露了TP-Link路由器的远程代码执行漏洞。几周后,TP-Link发布了针对易受攻击的WR940N路由器的补丁。 Mabbitt在2018年1月再次提醒TP-Link,WR740N路由器的另一个型号容易受到相同的攻击,因为该公司在两个型号上重复使用易受攻击的代码。路由器危机,TP-Link面临远程劫持风险TP-Link当时表示这两种型号的路由器的漏洞很快得到修复。但是当研究人员仔细检查时,该公司的网站没有发布WR740N的修复固件。当被问到时,TP-Link的一位发言人表示修复固件“目前可以应技术支持部门的要求提供”,但没有解释为什么它没有公开发布。在最近的媒体曝光后,TP-Link更新了其官方网站固件下载页面,其中包含最新的安全更新。我第一次收到提醒,已经两年了。Mabbitt认为,TP-Link负责主动提醒客户并提供安全更新,而不是被动地等待用户联系以获得技术支持。
路由器安全问题令人担忧
路由器长期以来一直因安全问题而臭名昭着,任何易受攻击的路由器都会对连接到它的所有设备产生灾难性影响。 Mabbitt表示,通过完全控制路由器,攻击者可能会对整个网络造成严重损害。修改路由器设置的攻击者可能会影响连接到同一网络的所有设备,例如更改DNS设置以诱骗用户访问虚假页面以窃取其登录凭据。
TP-Link拒绝透露它已售出多少路由器用于潜在的攻击,但表示WR740N型号于2017年停产。当研究人员搜索Shodan和Binary Edge(检测到暴露设备和数据库的搜索引擎)时,他们发现大约129,000个149,000台设备,虽然易受攻击设备的数量可能要低得多。
路由器危机,TP-Link面临远程劫持风险
WR740N型号路由器易受攻击的主要国家(资料来源:Shodan)
出售这些电子设备的英国和美国(加利福尼亚州)公司需要一个唯一的默认密码,以防止僵尸网络大规模地劫持连接互联网的设备,从而使网站脱机并且无法正常运行。此前,Mirai僵尸网络攻击了域名服务提供商Dyn,并在几个小时内离线了数十个主要网站,包括Twitter,Spotify和SoundCloud。
路由器劫持危机
信息窃取
攻击者远程劫持并监视用户的路由器,甚至可以将路由器的固件转换为自己的版本,从而完全接管网络设备。通过设备访问互联网的用户可能会提前跳转到攻击者设置的钓鱼网站,个人隐私,社交网络帐户和网上银行信息都有被盗的风险。
黑色作物
攻击者篡改并劫持用户路由器的DNS地址,以及其背后的广告商也在帮助,并形成了一个完整的黑色产业链。此劫持广告甚至可以根据用户查看的页面内容显示相关广告。例如,如果患者在百度上的人和医院流中搜索关键词,则在搜索结果页面中,可以直接弹出指定医院的广告,并且链接医院的主页。广告利益的驱动导致路由器劫持从黑客——发布平台——广告商形成一个完整的产业链。制造商预先设置后门制造商有一个后门程序供以后检测和调试,但管理权限很容易被黑客劫持。目前,路由器厂商的主流产品可能具有超强的管理权限。在安全预防措施较弱的情况下,这为黑客劫持路由器提供了最大的便利。例如,着名的制造商D-link在其众多主流路由器产品中留下了如此严重的后门。使用rhodkcableo28840ybtide的密钥,您可以通过远程登录轻松获得大多数D-link路由器的管理权限。