高危漏洞致D-Link路由器操控權落入黑客之手

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：研究員發現，部分D-Link路由器存在多個漏洞，黑客利用這些漏洞可獲得其全部控制權，且目前尚無安全補丁發布。在Linksys路由器中也出現了嚴重安全漏洞。

波蘭西里西亞工業大學（ The SilesianUniversity of Technology）某研究小組發現了在D-Link路由器中存在的安全漏洞。這些漏洞影響多個系列D-Link路由器httpd 伺服器，包括DWR-116, DWR-111,DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912及 DWR-921。

編號為CVE-2018-10822的目錄遍歷問題是其中的一個漏洞，允許黑客利用簡單的HTTP請求遠程讀取任意文件。D-Link供應商早已得知漏洞CVE-2017-6190的存在，但在其許多產品中該漏洞並未得到修復。

黑客可利用該漏洞入侵文件，竊取其中儲存的明文密碼。明文儲存密碼是第二個漏洞，編號為CVE-2018-10824。

鑒於該安全漏洞風險較大，易遭人利用，研究人員尚未透露儲存管理員密碼文件的具體位置。

一旦通過身份驗證，黑客可利用編號為CVE-2018-10823的第三個漏洞，執行任意指令來完全掌控該設備。

D-Link早在五月就被告知存在這些漏洞，其承諾將為設備DWR-116 及 DWR-111發布安全補丁，並在產品維護期限結束時顯示安全警告。然而迄今為止，其並未發布任何補丁，研究人員決定將其研究結果公之於眾。

同時，確保路由器不能通過互聯網訪問可緩解安全漏洞風險。

Linksys E-Series路由器安全漏洞

研究員在Linksys E-Series 路由器中發現多個安全漏洞。多個操作系統命令注入漏洞將使設備易遭黑客入侵，並在其上安裝惡意軟體。

與D-Link產品漏洞不同，只有通過身份驗證的黑客才能利用Talos漏洞，且其供應商已發布安全補丁。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！