【更新Beta版固件下載】Netgear多個型號路由器曝遠程任意命令注入漏洞,官方提供臨時解決方案
你在用Netgear網件的路由器嗎?最近需要格外小心了。
CERT/CC(美國計算機緊急事件響應小組協調中心)上周五發出安全公告,建議用戶暫停使用這Netgear R7000和R6400兩款路由器——緣於其高危漏洞。Netgear方面已經確認,受到影響的不止這兩個型號。
12.14 Update:網件推臨時beta固件
Netgear今天給FreeBuf發來一份有關漏洞的說明,一方面明確了漏洞(
#582384 命令注入安全漏洞
)的存在性,並且提到:
美國網件正在研發一個固件,這個固件用來修復命令注入的漏洞,並會儘快發布。在推出這個固件的同時,
我們會提供一個測試固件。測試固件尚未測試完成,可能並不適用於所有用戶。
測試固件針對以上多個型號的產品是可用的,針對剩餘型號的測試固件還在開發中,最早在12月15日發布。美國網件正在審查其他可能存在漏洞的型號,如果其他路由器有同樣的安全問題,我們也將發布修復固件。
實際上,我們今天也從Netgear官網看到,網件更新了針對這波漏洞的安全公告,並且再度更新了受到漏洞影響的設備型號,也就是說漏洞影響範圍進一步擴大,具體包括下面這些:
R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000
網件已經針對其中的 R6250 | R6400 | R6700 | R7000 |R8000 推出了如上所述的beta版固件,用以臨時修復該命令注入安全漏洞。正在使用這幾款路由器產品的用戶,可點擊相應鏈接從網件官網下載此固件。
不過仍需提醒,如網件所說,這是beta測試版,所以可能會存在BUG。
除此之外,網件表示仍在持續對整個產品線做進一步核查,確認是否還有其他型號的路由器受此漏洞影響。FreeBuf也將持續針對此漏洞的影響和修復進度做追蹤。
12.13 Update:網件確認漏洞存在
Netgear方面已經確認了漏洞的存在性,且在其安全公告中表示R7000/R6400/R8000的確存在漏洞。不過這兩天,一名安全研究人員進行了測試 。
他在測試報告中提到Netgear的Nighthawk產品線還有其他產品也存在問題,包括了R7000、R7000P、R7500、R7800、R8500、R9000。
如果要檢查自己的Netgear路由器是否受到影響,可在本地網路中用瀏覽器訪問:
http://[router_ip_address]/cgi-bin/;uname$IFS-a
如果瀏覽器返回了任何信息,而非顯示錯誤或者沒有顯示空白頁,就表明路由器可能也存在漏洞。在不需要認證的情況下,攻擊者就能對路由器發起CSRF攻擊——即便路由器並沒有將管理介面暴露在互聯網上也是完全可行的。
攻擊者惡意構造網頁後,劫持用戶瀏覽器並通過瀏覽器發出未授權請求。也就是惡意站點迫使用戶瀏覽器通過LAN來利用路由器漏洞。
實際上這個漏洞是web介面未能過濾URL中的潛在惡意命令所致。
影響範圍:
Netgear R7000路由器,固件版本為1.0.7.2_1.1.93(可能包括更早版本);
Netgear R6400路由器,固件版本為1.0.1.6_1.0.4(可能包括更早版本);
Netgear R8000路由器,固件版本1.0.3.4_1.1.2也受影響;可能還有其他型號受到影響。
(更新)網件確認存在此漏洞的路由器型號包括:R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000
漏洞概述:
採用以上版本固件的相應路由器存在任意命令注入漏洞。被攻擊者點擊惡意構造的網站後,遠程未授權攻擊者就能以Root許可權執行任意命令;區域網內的攻擊者則可通過直接發出請求達成類似攻擊效果,如訪問:
http://
有關該漏洞的PoC詳情參見:https://www.exploit-db.com/exploits/40889/
解決方案:
目前尚無完善的解決方案,需要等待Netgear發布補丁。不過有一些緩解措施可以執行:
1.禁用web服務
http://
在執行這一步之後,除非重啟,否則路由器的web管理操作就不可用了。
2.暫停使用
CERT還是強烈建議用戶暫時不要再使用受影響的路由器,等待官方的修復補丁。
作為IoT的一部分,路由器也和CCTV、DVR等設備一樣,會被攻擊者利用、令其感染惡意程序,最終成為殭屍網路的一部分。
最近名為BestBuy的黑客宣稱,已經控制了320萬台家用路由器,而且還將為這些路由器推送惡意固件更新。據說即便重啟這些路由器也沒用,殭屍網路大軍依舊存在。
前一陣德國電信遭遇黑客攻擊,90萬台路由器下線也依舊餘波未停。IoT的發展究竟是時代的進步,還是時代的悲哀?
* 參考來源:
CERT
,歐陽洋蔥編譯,轉載請註明來自FreeBuf.COM
※蘋果官方安全文件確認6種情況,iPhone X 不能使用Face ID 的條件
※蘋果開通官方 Instagram 賬號了
※《掠食》PC版無Demo?官方:Steam版退款就是了
※適配Android N:非官方Xposed框架源碼現身GitHub
※Valve官方確認Steam客戶端UI將大改 更新將到來
※官方確認!黑莓Priv無緣安卓7.0 Nougat更新
※逼死強迫症:Nvidia官方這樣命名新老Titan
※既然不被Rolex官方認可,Zenith破格官方授權Bamford Watch Department
※java中的方法引用(method reference)官方文檔總結
※Bamford Watch Department 正式成為 TAG Heuer 官方授權定製腕錶單位
※復刻版 Nike AZG 「First Game」 官方圖片釋出
※非官方勝官方的Nintendo Switch透明專用機殼
※微軟B站官方號曝光Surface Mobile
※官方硬點核心狂魔,AMD Threadripper即將亮相
※iOS固件官方泄密!iPhone X/8/8 Plus確認:沒有7s了
※iPhone官方命名出爐,不叫iPhone 8而是iPhone X?
※微軟官方B站曝光疑似Surface Phone測試視頻
※Compile Heart 角色扮演新作 PS4《Death end re;Quest》官方網站上線
※Apple官方:正調查iPhone 8 Plus「電池腫脹」問題:並非爆炸事件