安全第一 必虎路由已修补安全漏洞
前不久,国外媒体爆出必虎智能路由器存在多个安全漏洞,引发了人们不安。国外安全机构研究人员表示,必虎智能路由器在用户的身份验证机制上存在漏洞,攻击者无需身份验证,即可访问存储在系统日志中的敏感数据。不仅如此,攻击者还能以root权限在路由器上执行系统级别的控制命令。
该路由器默认还启用了隐藏用户、SSH、硬编码root密码等功能,而且它还会向所有用户的HTTP通信数据中注入第三方的JavaScript脚本文件。即使他拼错SID或将数值降为零,同样也没问题,该路由器能够接受任何数值,仍然可授予用户管理员权限。
攻击者可以通过本地网络的特殊URL来访问包含用户敏感数据的路由器系统日志。攻击者可以查看用户登录日志,并从那里获取到管理员的SID。事实上,研究人员发现的硬编码SID值,相当于一个隐藏的后门。研究人员发现,该路由器每次启动WAN连接,就会打开SSH端口,这就意味着任何攻击者可以通过互联网访问的SSH控制台。
而且,路由器还能将广告注入到网络流量里,因为该路由器的固件包含有内置版本的Privoxy代理软件。所以,通过这个代理,该路由器可转移所有用户的Web通信,并在URL地址为http://chdadd.100msh.com/ad.js的每页末尾追加一个JavaScript文件。这为攻击者进行嗅探通信,重写固件,或改变用户的流量,注入广告或恶意软件提供了可能。
针对以上的安全漏洞,必虎高度重视,并立即进行了安全修复,具体措施如下:
(1)op_log中不记录用户的sid
(2)只读账号不允许执行op命令,不能查看syslog、download,不能执行cmd,可以查询xml表;
(3)修改syslog中有关user和sid的打印级别;
(4)伪造的sid与只读的sid权限相同。
现在,升级到最新固件版本的必虎路由器,已经完全修复了安全漏洞,广大用户可以安心使用。
第4页:小身材有大能量 无线信号强度实测
