遠(yuǎn)程辦公安全警告:7大廠商127個路由器漏洞調(diào)查結(jié)果顯示全部中招!
隨著冠狀病毒大流行迫使更多的人在家辦公,路由器比以往任何時候都更加重要。幾乎所有的路由器都運(yùn)行某種形式的Linux,通常認(rèn)為它比其他操作系統(tǒng)更安全。即使這樣,Linux也不是無懈可擊的。超過三分之一的經(jīng)過測試的路由器運(yùn)行的是Linux的較舊版本,這在近十年來沒有發(fā)現(xiàn)任何安全補(bǔ)?。ㄔ谀承┣闆r下甚至更長)。
安全研究人員使用開源固件分析和比較工具(FACT)檢查了來自7個制造商的127個無線路由器,并在所有這些中發(fā)現(xiàn)了多個漏洞。即使您使用制造商提供的最新固件,您使用的無線路由器也很有可能容易受到多種攻擊媒介的攻擊。以下是7大廠商路由器中主要漏洞:
1.AVM
無法實施常見的安全技術(shù)(AVM比這里的其他技術(shù)要好)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
2.ASUS(華碩)
無法實施常見的安全技術(shù)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
3.Netgear
固件中嵌入了秘密私鑰,因此任何人都可以找到它們(Netgear R6800有13個)。
無法實施常見的安全技術(shù)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
不容忽視的型號是Netgear R6800,如上所述,其固件中嵌入了多達(dá)13個硬編碼的私有安全密鑰。私鑰是管理Internet安全性機(jī)制的關(guān)鍵部分,路由器將使用私鑰來發(fā)起安全傳輸并驗證固件更新。他們需要保持嚴(yán)密的機(jī)密才能有效,但是如果可以在路由器的固件中找到密鑰,則將大大破壞這些秘密。這意味著任何攻擊者都可以冒充該設(shè)備并進(jìn)行間接攻擊,這些密鑰與相同型號的所有設(shè)備共享,在固件中發(fā)布的一個私鑰會使成千上萬的設(shè)備處于危險之中。只有AVM在其所有固件映像中均具有零個私鑰。Netgear最多。
4.D-Link
過時的固件(自2014年以來未更新D-Link DSL-321B Z)。
無法實施常見的安全技術(shù)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
D-Link DSL-321B Z,自2014年8月以來沒有進(jìn)行固件更新??偣灿?6種型號在一年以上沒有更新,盡管大多數(shù)模型在過去兩年內(nèi)沒有得到更新。 如果供應(yīng)商很長時間沒有更新固件,則可以確定該設(shè)備中存在多個已知漏洞。
5.Linksys
過時的Linux內(nèi)核(Linksys WRT54GL使用2002年以來的內(nèi)核)。
無法實施常見的安全技術(shù)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
這里需要注意的是Linksys WRT54GL在2.4.20內(nèi)核中存在諸多已知漏洞。
6.TP-Link
無法實施常見的安全技術(shù)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
7.Zyxel
無法實施常見的安全技術(shù)。
硬編碼的管理用戶名和密碼,從而可以完全控制設(shè)備。
總結(jié)
總的來說,AVM在迄今為止接受調(diào)查的7個制造商中表現(xiàn)最好。華碩和Netgear的表現(xiàn)不佳,但不如D-Link,Linksys,TP-Link和Zyxel糟糕。
不應(yīng)該使用的路由器
不該再使用2002年以來的2.4.20內(nèi)核的Linksys WRT54GL。雖然WRT54G系列可能是有史以來最暢銷的Wi-Fi路由器系列。WRT54GL的持續(xù)吸引力可能源于可靠性的聲譽(yù)以及它很容易“刷新”以運(yùn)行開源固件的事實(OpenWrt固件最初是為在該系列路由器上運(yùn)行而開發(fā)的)。該特定型號的固件最后于2016年1月更新,這是研究中最古老的固件之一。Linksys WRT54GL于2005年首次發(fā)布,即使它僅處理高達(dá)802.11g的Wi-Fi協(xié)議,今天仍在銷售。
建議使用的路由器
研究人員發(fā)現(xiàn)制造商之間存在一些差異,AVM在迄今為止接受調(diào)查的7個制造商中表現(xiàn)最好,華碩和Netgear的表現(xiàn)次之,華碩和Netgear在某些方面比D-Link,Linksys,TP-Link和Zyxel做得更好.從安全調(diào)查表現(xiàn)結(jié)果來看,建議使用AVM,華碩和Netgear路由器,并保持固件及時更新,從而增強(qiáng)安全性。
如何保護(hù)路由器
確保購買的路由器會自動安裝固件更新。檢查當(dāng)前路由器是否這樣做,或者可以很容易地手動安裝固件更新。
確保路由器默認(rèn)出廠管理密碼已更改,并檢查其管理界面,以確保禁用UPnP和遠(yuǎn)程訪問。
如果路由器是5年前首次發(fā)布的,請考慮購買更新的型號,除非它滿足上述所有條件。
可以嘗試“刷新”較舊的路由器,以運(yùn)行更安全的開源路由器固件,例如OpenWrt,DD-WRT或Tomato。