厂商路由器漏洞|安全人员公布7大厂商路由器主要漏洞 2020中国无线路由器市场深度调查
随着冠状病毒大流行迫使更多的人在家办公 , 路由器比以往任何时候都更加重要 。 几乎所有的路由器都运行某种形式的Linux , 通常认为它比其他操作系统更安全 。 即使这样 , Linux也不是无懈可击的 。 超过三分之一的经过测试的路由器运行的是Linux的较旧版本 , 这在近十年来没有发现任何安全补丁(在某些情况下甚至更长) 。
根据中研产业研究院《2020-2025年中国无线路由器市场深度调查研究报告》
, 安全研究人员使用开源固件分析和比较工具(FACT)检查了来自7个制造商的127个无线路由器 , 并在所有这些中发现了多个漏洞 。 即使您使用制造商提供的最新固件 , 您使用的无线路由器也很有可能容易受到多种攻击媒介的攻击 。 以下是7大厂商路由器中主要漏洞:
1.AVM
无法实施常见的安全技术(AVM比这里的其他技术要好) 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
2.ASUS(华硕)
无法实施常见的安全技术 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
3.Netgear
固件中嵌入了秘密私钥 , 因此任何人都可以找到它们(Netgear R6800有13个) 。
无法实施常见的安全技术 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
不容忽视的型号是Netgear R6800 , 如上所述 , 其固件中嵌入了多达13个硬编码的私有安全密钥 。 私钥是管理Internet安全性机制的关键部分 , 路由器将使用私钥来发起安全传输并验证固件更新 。 他们需要保持严密的机密才能有效 , 但是如果可以在路由器的固件中找到密钥 , 则将大大破坏这些秘密 。 这意味着任何攻击者都可以冒充该设备并进行间接攻击,这些密钥与相同型号的所有设备共享 , 在固件中发布的一个私钥会使成千上万的设备处于危险之中 。 只有AVM在其所有固件映像中均具有零个私钥 。 Netgear最多 。
4.D-Link
过时的固件(自2014年以来未更新D-Link DSL-321B Z) 。
无法实施常见的安全技术 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
D-Link DSL-321B Z , 自2014年8月以来没有进行固件更新 。 总共有46种型号在一年以上没有更新 , 尽管大多数模型在过去两年内没有得到更新 。如果供应商很长时间没有更新固件 , 则可以确定该设备中存在多个已知漏洞 。
5.Linksys
过时的Linux内核(Linksys WRT54GL使用2002年以来的内核) 。
无法实施常见的安全技术 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
这里需要注意的是Linksys WRT54GL在2.4.20内核中存在诸多已知漏洞 。
6.TP-Link
无法实施常见的安全技术 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
7.Zyxel
无法实施常见的安全技术 。
硬编码的管理用户名和密码 , 从而可以完全控制设备 。
总结
总的来说 , AVM在迄今为止接受调查的7个制造商中表现最好 。 华硕和Netgear的表现不佳 , 但不如D-Link , Linksys , TP-Link和Zyxel糟糕 。
不应该使用的路由器
不该再使用2002年以来的2.4.20内核的Linksys WRT54GL 。 虽然WRT54G系列可能是有史以来最畅销的Wi-Fi路由器系列 。 WRT54GL的持续吸引力可能源于可靠性的声誉以及它很容易“刷新”以运行开源固件的事实(OpenWrt固件最初是为在该系列路由器上运行而开发的) 。 该特定型号的固件最后于2016年1月更新 , 这是研究中最古老的固件之一 。 Linksys WRT54GL于2005年首次发布 , 即使它仅处理高达802.11g的Wi-Fi协议 , 今天仍在销售 。
建议使用的路由器
研究人员发现制造商之间存在一些差异,AVM在迄今为止接受调查的7个制造商中表现最好,华硕和Netgear的表现次之,华硕和Netgear在某些方面比D-Link , Linksys , TP-Link和Zyxel做得更好.从安全调查表现结果来看 , 建议使用AVM,华硕和Netgear路由器 , 并保持固件及时更新 , 从而增强安全性 。
如何保护路由器
确保购买的路由器会自动安装固件更新 。 检查当前路由器是否这样做 , 或者可以很容易地手动安装固件更新 。
确保路由器默认出厂管理密码已更改,并检查其管理界面 , 以确保禁用UPnP和远程访问 。
如果路由器是5年前首次发布的 , 请考虑购买更新的型号 , 除非它满足上述所有条件 。
可以尝试“刷新”较旧的路由器 , 以运行更安全的开源路由器固件 , 例如OpenWrt , DD-WRT或Tomato 。
更多产业研究专业分析关注中研产业研究院《2020-2025年中国无线路由器市场深度调查研究报告》
推荐阅读
- 欢乐颂|《三十而已》获好评,女性题材吃香,却因逻辑漏洞输给《欢乐颂》
- 史诗|欧科云链OKLink追溯推特史诗级漏洞
- 「新浪科技综合」电视开机广告一键关闭重大进展:各家厂商纷纷承诺新浪科技综合2020-07-20 10:58:090阅
- 社交|Twitter史上最大安全漏洞:多个账户被黑,原因竟出自比特币钓鱼骗局
- 京东|大学生利用“漏洞”骗走京东110万,还剩1年就毕业,没想到要坐10年牢
- 快递|潮州一买家利用快递漏洞屡次退货诈骗,湘桥警方快速破案
- 爆发|推特爆发史诗级安全漏洞!奥巴马等账号被盗,最惨的是我川建国?
- [中关村在线]App Store无版号手游8月起下架 游戏厂商们出路必洗白中关村在线2020-07-19 08:03:500阅
- 中关村在线■无版号手游8月起下架 游戏厂商们出路必洗白中关村在线2020-07-19 08:03:150阅
- 差距|主力和替补之间,实力差距过大,这会成为巴萨的漏洞吗