上百万台光纤路由器爆认证旁路破绽,可被长途拜访进击

时间: 2018-05-05 22:02:46 作者: 管理员

外媒克日新闻,平安研讨人员发明经由过程一个认证旁路破绽能够或许长途拜访跨越一百万台光纤路由器。研讨注解,该破绽很容易经由过程改动浏览器地点栏中的 URL 来应用,可以让任何人绕过路由器的登录页面和拜访页面,只要在路由器的任何设置装备摆设页面上的网址末端增加 “?images /”,就能够或许完整拜访路由器。由于装备诊断页面上的 ping 和 traceroute 敕令以 “ root ” 级别运转,是以别的敕令也能够在装备上长途运转。

  这些路由器是将高速光纤互联网带入人们家庭的焦点。依据周一宣布的查询拜访成果注解,该破绽在用于光纤衔接的路由器中发明。今朝 Shodan 上列出了约 106 万个标记的路由器 ,此中一半易受进击的路由器位于墨西哥的 Telmex 收集上,别的的则在哈萨克斯坦和越南被发明。

  研讨人员表现曾经接洽了树立路由器的韩国技巧公司 Dasan Networks,但并无立刻收到答复。别的,他还接洽了易受进击装备数目最多的互联网提供商 Telmex,也没有任何覆信。

  发明该差错的匿名平安研讨人员觉得破绽带来的侵害远远大于受影响的路由器。由于由于该装备是一个路由器,这意味着它能节制着自己的收集,而且能够或许将全部收集(不仅仅是这个装备)作为僵尸收集。他弥补道,路由器能够很容易被窜改,改动其 DNS 设置,以重定向用户拜访歹意版本的网站,从而盗取用户的凭据。

  最近的研讨注解,路由器是黑客滥用的重要目的,由于它们是大多数收集的中心点。当遭到进击时,进击者能够进一步立足于收集。路由器也是一个很容易应用的目的,它们能够随意马虎地被黑客进击,被僵尸收集挟制,而且经由过程互联网流量入侵目的,将它们置于离线状况。这些分布式回绝办事(DDoS)进击能够在准确瞄定时捣毁大批收集。

  比方本月早些时候,英国和美国政府都正告说,俄罗斯黑客正在应用受损的路由器为将来的进击奠基根基。