netgear
你在用Netgear网件的路由器吗?CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,建议用户暂停使用这Netgear R7000和R6400两款路由器——缘于其高危漏洞。Netgear方面则已经确认了漏洞影响范围,并给出了临时解决方案。
12.14 Update:网件推临时beta固件
Netgear今天给FreeBuf发来一份有关漏洞的说明,一方面明确了漏洞(#582384 命令注入安全漏洞)的存在性,并且提到:
美国网件正在研发一个固件,这个固件用来修复命令注入的漏洞,并会尽快发布。在推出这个固件的同时,我们会提供一个测试固件。测试固件尚未测试完成,可能并不适用于所有用户。
测试固件针对以上多个型号的产品是可用的,针对剩余型号的测试固件还在开发中,最早在12月15日发布。美国网件正在审查其他可能存在漏洞的型号,如果其他路由器有同样的安全问题,我们也将发布修复固件。
实际上,我们今天也从Netgear官网看到,网件更新了针对这波漏洞的安全公告,并且再度更新了受到漏洞影响的设备型号,也就是说漏洞影响范围进一步扩大,具体包括下面这些:
R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000
网件已经针对其中的 R6250 | R6400 | R6700 | R7000 |R8000 推出了如上所述的beta版固件,用以临时修复该命令注入安全漏洞。正在使用这几款路由器产品的用户,可点击相应链接从网件官网下载此固件。不过仍需提醒,如网件所说,这是beta测试版。除此之外,网件表示仍在持续对整个产品线做进一步核查,确认是否还有其他型号的路由器受此漏洞影响。
网件官方表示正在在进行固件升级,预计会在12月15日正式发布,用户通过升级固件就可以解决此问题。同时,12月13日 NETGEAR中国官方微博也已经发了同步的说明(点这里)。
12.13 Update:网件确认漏洞存在
Netgear方面已经确认了漏洞的存在性,且在其安全公告中表示R7000/R6400/R8000的确存在漏洞。不过这两天,一名安全研究人员进行了测试 。他在测试报告中提到Netgear的Nighthawk产品线还有其他产品也存在问题,包括了R7000、R7000P、R7500、R7800、R8500、R9000。
如果要检查自己的Netgear路由器是否受到影响,可在本地网络中用浏览器访问:
http://[router_ip_address]/cgi-bin/;uname$IFS-a如果浏览器返回了任何信息,而非显示错误或者没有显示空白页,就表明路由器可能也存在漏洞。在不需要认证的情况下,攻击者就能对路由器发起CSRF攻击——即便路由器并没有将管理接口暴露在互联网上也是完全可行的。攻击者恶意构造网页后,劫持用户浏览器并通过浏览器发出未授权请求。也就是恶意站点迫使用户浏览器通过LAN来利用路由器漏洞。
实际上这个漏洞是web接口未能过滤URL中的潜在恶意命令所致。
影响范围:
Netgear R7000路由器,固件版本为1.0.7.2_1.1.93(可能包括更早版本);
Netgear R6400路由器,固件版本为1.0.1.6_1.0.4(可能包括更早版本);
Netgear R8000路由器,固件版本1.0.3.4_1.1.2也受影响;可能还有其他型号受到影响。
(更新)网件确认存在此漏洞的路由器型号包括:R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000
漏洞概述:
采用以上版本固件的相应路由器存在任意命令注入漏洞。被攻击者点击恶意构造的网站后,远程未授权攻击者就能以Root权限执行任意命令;局域网内的攻击者则可通过直接发出请求达成类似攻击效果,如访问:
http://<router_IP>/cgi-bin/;COMMAND有关该漏洞的PoC详情参见:https://www.exploit-db.com/exploits/40889/
解决方案:
等待Netgear发布补丁,Netgear已部分型号路由器发布补丁。亦有缓解措施可执行:
1.禁用web服务;
http://<router_IP>/cgi-bin/;killall$IFS'httpd'在执行这一步之后,除非重启,否则路由器的web管理操作就不可用了。
2.暂停使用受影响的路由器;
作为IoT的一部分,路由器也和CCTV、DVR等设备一样,会被攻击者利用、令其感染恶意程序,最终成为僵尸网络的一部分。最近名为BestBuy的黑客宣称,已经控制了320万台家用路由器,而且还将为这些路由器推送恶意固件更新。据说即便重启这些路由器也没用,僵尸网络大军依旧存在。前一阵德国电信遭遇黑客攻击,90万台路由器下线也依旧余波未停。IoT的发展究竟是时代的进步,还是时代的悲哀?
* 参考来源:CERT,欧阳洋葱编译,转载请注明来自FreeBuf.COM
- 上一篇:这款勒索软件很有个性:要么付钱,要么帮忙再感染两台PC
- 下一篇:发起DDoS攻击有积分和奖励,土耳其黑客是这么玩的
关注我们 分享每日精选文章
0daybank
已有 18 条评论
刚买的路由器
http://<router_IP>/cgi-bin/;killall$IFS’httpd’
利用漏洞缓解漏洞。。。
直接杀掉httpd服务。。。这方法也是没谁了
运营商不是早把家庭网络的80端口给干掉了么?对大中华地区的没有影响吧?
@ evilknight 不需要访问你的80端口吧,我的理解是:只需要在你浏览的http网页上,插入一个精心构造的链接就能完成攻击
@ evilknight 文章里说的也是骗用户点击恶意链接,而不是从公网主动去连路由器
刷了ddwrt呢
@ _retob 那就没有这个漏洞
记得网件是可以屏蔽无线连接访问控制台的,现在大部分应用场景都是wifi,因此合理配置问题就不太严重
还好双十二没入,
OpenWrt大家庭欢迎您的加入(笑
还好我的路由器不在设备列表而且用的是番茄
NETGEAR已经找到完美的解决方案对oday
提示404
R6250 (AC1600): confirmed by Netgear [3]
R6400 (AC1750): confirmed by Netgear [3]
R6700 Nighthawk (AC1750): confirmed by Netgear [3]
R7000 Nighthawk (AC1900, AC2300): confirmed (by myself and Netgear [3])
R7100LG Nighthawk: confirmed by Netgear [3])
R7500 Nighthawk X4 (AC2350): confirmed [2] and Netgear [3]
R7800 Nighthawk X4S(AC2600): confirmed [2], not by Netgear [3]
R7900 Nighthawk: confirmed by Netgear [3]
R8000 Nighthawk (AC3200): confirmed by Netgear [3]
R8500 Nighthawk X8 (AC5300): confirmed [2], not by Netgear [3]
R9000 Nighthawk X10 (AD7200): confirmed [2], not by Netgear [3]
提示404有没有问题
还好早就刷了openwrt
表示路由器是AC88U,用的是论坛梅林改版,懂的懂人都懂的,感觉漏洞可能相对少吧。