家庭路由器哪家强:固件漏洞多年不修复,更新无济于事
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
德国弗劳恩霍夫通信技术研究所 (FKIE) 研究了7个品牌的127款家庭路由器,旨在分析它们的最新固件版本中是否存在已知的安全漏洞,结果让人大跌眼镜。
固件更新未修复已知漏洞
FKIE 研究发现,其中46款路由器在过去一年中并未进行安全更新,很多路由器受数百个已知漏洞的影响。另外,研究发现厂商推出的固件更新并未修复已知漏洞,这意味着即使客户安装了厂商提供的最新固件版本,路由器仍然易受攻击。
FKIE 评估后认为华硕 (ASUS) 和网件 (Netgear) 在加固路由器安全方面所作的工作要好于 D-Link、Linksys、TP-Link 和 Zyxel,不过该公司表示路由器行业仍然需要更加努力,保护家庭路由器的安全。
私钥遭公开,Linux OS 老旧
FKIE 分析发现,德国路由器厂商 AVM 是唯一一个未公布其路由器固件私钥的厂商。Netgear R6800 路由器中含有13个私钥。在最差的情况下,有些路由器甚至在五年的时间里从未更新过。
研究发现,90%的路由器使用的是 Linux 操作系统。然而,厂商并未安装 Linux 内核维护人员提供的修复方案更新操作系统。
FKIE 网络分析防御部门的一名科学家 Johannes vom Dorp 表示,“Linux 继续解决操作系统中的漏洞问题并开发新功能。所有厂商必须做的事情是安装最新软件版本,但他们的集成程度并未达到能够且应该到达的水平。很多路由器的密码要么易于猜测要么易于破解,或者用的是用户无法更改的硬编码凭据。
研究根据固件镜像中的五个关键指标评估每个厂商的网络安全措施,包括:距离最后一次固件更新的时间有多久、运行路由器的操作系统版本的老旧程度、使用exploit 缓解技术、私钥的材料是否为私有以及是否存在硬编码的登陆凭据。
厂商打补丁不及时
FKIE 总结称,从安全更新的交付角度来看,路由器厂商远远落后于操作系统厂商。该公司指出,“路由器厂商的更新策略远远落后于桌面或服务器操作系统的标准。多数设备基于 Linux 操作系统,而 Linux 内核和其他开源软件每年多次发布补丁。这意味着厂商能够更加频繁地将安全补丁分发到设备,但他们没有这么做。”
这一结果和2018年美国消费者研究所 (ACI) 开展的针对美国路由器的调查结果一致。ACI 分析了14家厂商的186款小型办公/家庭办公室的无线路由器。结果发现,155款也就是83%的样本固件中存在漏洞,而且每款路由器中平均含有172个漏洞。ACI 批评路由器厂商未提供自动更新机制更新路由器。通常只在发生高级别的路由器攻击活动(如 Mirai IoT 恶意软件和受国家支持的 VPNFilter 恶意软件)之后才会推出更新。
一名研究员最近从79款 Netgear 路由器型号中发现一个可远程利用的缺陷。谈到 exploit 缓解措施时,他还发现 Netgear 的 web 管理面板从未应用 exploit 缓解技术 ASLR,导致远程攻击者接管受影响路由器的门槛降低。
FKIE 还发现,超过三分之一的设备使用内核版本 2.6.36 或更老版本,但早在2011年2月该版本的最新更新已发布。该公司还发现一款 Linksys WRT54GL 路由器在2002年发布的 Linux 内核版本 2.4.20上运行。报告指出,“最糟糕的高危 CVE 漏洞案例是,Linksys WRT54GL 受最老旧内核推动。影响该产品的高危CVE漏洞共有570个。
报告全文可见:
https://www.fkie.fraunhofer.de/content/dam/fkie/de/documents/HomeRouter/HomeRouterSecurity_2020_Bericht.pdf
推荐阅读
这个严重 0day 可导致79款 Netgear 路由器遭远程接管,无补丁
D-Link 老款路由器被曝多个高危漏洞,未完全修复
思科警告:IOS 路由器中含有多个严重缺陷,可导致“系统完全受陷”
原文链接
https://www.zdnet.com/article/home-router-warning-theyre-riddled-with-known-flaws-and-run-ancient-unpatched-linux/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~