卡巴斯基实验室的研究人员在本周三指出,他们在D-Link DIR-620路由器的固件中发现了四个安全漏洞,其中包括一个硬编码的后门账户(CVE-2018-6213,CVSS v3评分: 6.1),允许攻击者接管任何能够通过互联网访问的易受攻击路由器。
研究人员表示,后门账户授予攻击者访问路由器Web管理面板的权限。另外,由于默认登录凭证采用了硬编码,因此路由器所有者无法对登录凭证进行修改,也无法对这个账户进行禁用。对路由器Web管理面板访问意味着允许攻击者能够提取敏感数据,例如使用纯文本密码的配置文件。
为了防止被滥用,研究人员并没有披露后门帐户的用户名和密码。并表示,保护路由器免遭黑客攻击的唯一方法是避免让路由器在WAN接口上暴露其管理面板,因为这会导致它能够通过互联网被公开访问。
在其他三个漏洞中,CVE-2018-6212(CVSS v3评分: 6.5)被描述为一个可导致跨站点脚本攻击(XSS)的安全漏洞,它是由于字段中特殊字符的过滤失败以及XMLHttpRequest对象的错误处理导致的。
另外两个漏洞CVE-2018-6211(CVSS v3评分:9.1)和CVE-2018-6210(CVSS v3评分: 10.0)都被归类为高危漏洞,因为它们允许攻击者很容易地访问并接管易受攻击的路由器。前者被描述为一个操作系统命令注入漏洞,由于参数处理不争取导致;后者被描述为一个允许攻击者恢复Telnet证书的安全漏洞,通过使用Telnet的默认凭证,攻击者可以获得对路由器的管理访问权限。
卡巴斯基实验室对DIR-620的多个固件版本进行了测试,发现它们在不同程度上都受这四个漏洞的影响。具体来讲,受影响的固件版本包括V1.0.3、V1.0.37 、V1.3.1、V1.3.3、V1.3.7、V1.4.0 以及V2.0.22。
好消息是,由于D-Link DIR-620路由器是一个相对较旧的路由器型号,因此并没有太多的设备可供攻击者利用。由于该型号的路由器大部分都是由俄罗斯、独联体国家和东欧国家的互联网服务提供商(ISP)直接提供给宽带用户的,因此卡巴斯基实验室在今年年初不仅将他们的发现通报给了D-Link,也包括这些国家的ISP。
遗憾的是,D-Link表示他们并不打算为这种较旧的路由器型号发布新固件更新,除非其中某一家ISP提出为这些设备提供安全更新的要求。在这种情况下,卡巴斯基实验室提供了以下建议:
- 使用受信任IP的白名单来限制对路由器Web管理面板的访问;
- 限制对Telnet的访问;
- 定期修改路由器管理员用户名和密码。
閱讀更多 黑客視界 的文章
