标签: 路由器

美国 Comcast 网站因漏洞泄露 Xfinity 路由器的客户数据

两名研究人员近日发现美国用于激活 Xfinity 路由器的 Comcast 网站会泄露用户的敏感信息。Concast 网站主要用于建立家庭互联网和有线电视服务,可能会被攻击者利用,显示路由器所在的家庭住址以及 Wi-Fi 名称和密码。 测试发现,这个网站会以明文形式返回用户联网的 Wi-Fi 名称和密码,就算修改密码,再次运行进程也能获得新的密码。攻击者可以借此重命名 Wi-Fi 网络名称和密码,暂时锁定用户甚至使用这些信息访问有效范围内的 Wi-Fi 网络,进而读取未加密的流量。 Comcast 目前已经从网站中删除了返回数据的选项,正在着手解决这个问题。   稿源:Freebuf,封面源自网络;

英美警告俄罗斯黑客入侵全球路由器

周一的时候,英美情报机构发布了又一起与俄罗斯有关的潜在网络威胁警告。特别工作小组称,这群黑客得到了俄罗斯政府的支持,意图劫持全球路由器,且有可能取得了一定程度的成功。攻击目标包括互联网服务提供商、政府、小企业、以及 SOHO 。计算机应急响应小组(CERT)发布的警告称,黑客们似乎正在尝试接管网络基础设施。 美国国土安全部(DHS)、联邦调查局(FBI)、以及英国全国网络安全中心(NCSC)的一支联合安全专家团队,已经在某些国家的设备上发现其启用了通用路由封装(GRA)、思科智能安装(SMI)、以及简单网络管理协议(SNMP)。 福布斯报道称,在公告发布前,来自国家安全委员会(NSC)的总统特别助理兼网络安全协调员 Rob Joyce 已经向媒体作了简报,称高度相信俄罗斯在攻击背后横插了一脚。 英国 NCSC 主管 Ciaran Martin 补充道:攻击可追溯到一年前,不排除俄罗斯可能试图利用这个被黑客攻击的基础设施发起进一步的行动。 CERT 报告指出,作为一种执行中间人攻击的手段,黑客意图渗透路由器、交换机、防火墙、以及网络入侵检测系统。 黑客使用的攻击载体,是端口上与网络管理有关的老旧或脆弱协议。据研究人员所述,攻击者利用了以下漏洞: ● 带有未加密协议、或无身份验证服务的设备; ● 安装前就不够坚硬的设备; ● 制造商或供应商不再提供安全补丁(EoL)的设备。 报告详情: https://www.us-cert.gov/ncas/alerts/TA18-106A 稿源:cnBeta,封面源自网络;

黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和伊朗等 。根据伊朗通信和信息技术部的说法,目前全球已超过 20 万台路由器受到了攻击影响,其中有 3500 台受影响设备位于伊朗。 在利用 CVE-2018-0171 攻击 Cisco 路由器后,路由器的配置文件 startup-config 被覆盖,路由器重新启动。这不仅导致了网络中断,并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。 攻击者透露他们扫描了许多国家的易受攻击的系统,但只袭击了俄罗斯或伊朗的路由器,并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

MikroTik RouterOS 中发现了可远程利用的缓冲区溢出漏洞

MikroTik 是拉脱维亚的一家供应商,生产全球许多运行基于 Linux 操作系统的电信公司的路由器。该漏洞被追踪为 CVE-2018-7445,远程攻击者可以利用该服务访问该服务以在系统上执行任意代码。“在处理 NetBIOS 会话请求消息时,MikroTik RouterOS SMB 服务中发现缓冲区溢出。 访问该服务的远程攻击者可以利用此漏洞并在系统上获得代码执行权。“阅读该公司发布的咨询。“溢出发生在身份验证发生之前,因此未经身份验证的远程攻击者有可能利用此漏洞。” 研究人员发布了与 MikroTik 的 x86 云托管路由器配合使用的概念验证代码证明。核心首先在 2018 年 2 月 19 日向 MikroTik 报告了这个漏洞 . MozroTik 计划在 2018 年 3 月 1 日发布下一个版本的修复程序,并要求 Core 不要泄露该漏洞的细节。 即使 MikroTik 无法在 2018 年截止日期前发布修复程序,Core 仍在等待 2018 年 3 月 12 日星期一发布的新版本的发布。如果无法安装更新,MikroTik 建议禁用 SMB。几天前,卡巴斯基实验室的安全专家宣布已经发现了一个新的复杂的 APT 组织,该组织从至少 2012 年起至少已经在雷达中运行。卡巴斯基跟踪该组织,并确定了它使用的一系列恶意软件,称为 Slingshot,以 妥协中东和非洲数十万受害者的系统。 研究人员已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了约 100 名弹弓受害者并发现了其模块。肯尼亚和也门迄今为止感染人数最多。 大多数受害者是个人而非组织,政府组织数量有限。APT 组利用拉脱维亚网络硬件提供商 Mikrotik 使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。 攻击者首先破坏路由器,然后用文件系统中的恶意代码替换它的一个 DDL,当用户运行 Winbox Loader 软件(Mikrotik 路由器管理套件)时,该库将加载到目标计算机内存中。 该 DLL 文件在受害者的机器上运行,并连接到远程服务器以下载最终有效负载,即卡巴斯基监控的攻击中的 Slingshot 恶意软件。目前还不清楚 Slingshot 团伙是否也利用 CVE-2018-7445 漏洞危害路由器。既然漏洞 CVE-2018-7445 漏洞的概念证明可用,那么客户需要将 RouterOS 升级到版本 6.41.3 以避免问题。 稿源:东方安全,封面源自网络;

黑客 BestBuy 认罪,曾劫持德国电信路由器逾 90 万台导致 200 万欧元损失

据外媒报道,29 岁黑客 BestBuy 于 7 月 21 日在德国法庭认罪,曾使用 Mirai IoT 恶意软件自定义版本劫持德国电信路由器逾 90 万台。目前,德国预计此次网络攻击损失超过 200 万欧元。 7 月初,调查人员布莱恩·克雷布斯(Brian Krebs)表示,他们发现黑客 BestBuy 真实身份,即英国丹尼尔·凯耶(Daniel Kaye)。调查显示,BestBuy 在该起网络攻击活动中提供了恶意软件源代码,包括代码签名数字证书( 网络黑市 TheRealDeal 中售价接近 4.5 比特币 )。 英国警方表示,BestBuy 于 2016 年 11 月下旬通过恶意代码新变种感染德国电信路由器,发动 DDoS 攻击。随后,这黑客又于 12 月使用另一版本恶意软件 Mirai ,造成英国 10 万台路由器处于离线状态。据悉,BestBuy 于 2017 年 2 月底在伦敦机场被捕后被引渡德国。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密曝光 CIA 新路由器网络攻击方式

据外媒报道,路由器几乎是每一个网络的前门,除了提供访问入口,它还能为阻止远程网络攻击提供一定的安全保护作用。所以,如果路由器沦陷,那么也就意味着攻击者可以看到用户在网上做的每一个动作。根据维基解密最新曝光的文件显示,CIA 就拥有能够做到这点的工具。 根据文件描述了解到,CIA 一个叫做 Cherry Blossom 的项目可以通过一个修改过的给定路由器固件将路由器变成一个监控工具。一旦部署成功,Cherry Blossom 就能让在被攻击者的网络上展开远程代理监控、扫描诸如密码的实用信息甚至还能重定向被攻击者想要访问的网站。 获悉,维基解密曝光的文件来源于 2012 年 8 月,所以现在并不清楚 CIA 在这 5 年间是否有升级过 Cherry Blossom ,或许它已经停止使用。另外,从曝光的文件了解到,Cherry Blossom 对来自华硕、贝尔金、Buffalo、戴尔、DLink、Linksys、摩托罗拉、Negear、Senao、US Robotics 这 10 家厂商的近 25 种不同的设备都有效。 此外,文件还提到,CIA 通过 Claymore 工具或一个供应链操作将 Cherry Blossom 固件植入到无线设备中。“ 供应链操作 ” 很有可能指的是在工厂和用户之间拦截设备,这是间谍活动的常用手段。目前并不清楚该固件植入的使用范围有多广,不过文件指出该类型攻击只针对特定目标发起,而非大规模监控。 稿源:cnBeta,封面源自网络

恶意程序使用路由器 LED 灯从安全网络窃取数据

以色列本·古里安大学的研究人员开发出一款恶意程序,当安装到路由器或网关上时它能控制设备上的 LED 灯,使用 LED 以二进制格式向附近的攻击者传输数据,攻击者可以使用视频记录设备接收数据。 在最新的研究中,路由器和网关上的 LED 灯有很多,因而窃取效率更高。研究人员表示,他们能以每个 LED 1000 比特的速度窃取数据。 此外,研究人员还发现能够利用目标电脑上的机械硬盘声音以及硬盘 LED 灯等方法窃取不联网设备上的数据。 稿源:cnBeta、solidot奇客,封面源自网络

Netgear 路由器 NightHawk R7000 新款固件具有远程数据收集功能

据外媒报道,美国知名企业 Netgear 公司于上周更新的 Netgear NightHawk R7000 无线路由器固件具有远程数据收集功能,可收集路由分析数据并发送至厂商服务器。 安全研究人员 AceW0rm 于去年 8 月发现多款 NetGear 路由器存在远程代码漏洞并上报厂商,但 Netgear 公司并未做出任何回应。随后,AceW0rm 于同年 12 月公开披露该漏洞概念验证代码。 调查显示,Netgear NightHawk R7000 路由器新款固件可收集路由器连接设备的总数、IP 地址、MAC 地址、WiFi 信息以及连接WiFi的设备信息等数据。 目前,Netgear 正低调处理该问题并声称新固件数据收集功能属于常规诊断处理范畴,有助于厂商快速了解用户操作习惯与路由器运行方式。Netgear表示,如果用户注重隐私且不希望 Netgear 收集数据信息,可禁用此功能或使用 DD-WRT(一款基于 Linux 的开源固件,旨在加强无线网络路由器的安全与性能)替换该固件。 原作者: Wang Wei, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

时隔四年思科终于披露 Linksys 路由器远程访问漏洞细节

2013 年 1 月,DefenseCode 的安全研究人员发现,Cisco Linksys(现属于 Belkin)的路由器默认安装下存在一个远程 root 访问漏洞。漏洞后来发现实际上存在于 Broadcom 的 UPnP 实现中,这一实现被路由器广泛使用,也就是说漏洞不只是存在于思科的产品中,其它路由器厂商也受到影响,其中包括华硕、D-Link、 Zyxel、US Robotics、TP-Link、Netgear 等。受影响的设备数以百万计,研究人员因此没有公开他们的发现。 直到四年后的今天,他们正式披露了这一影响广泛的漏洞。研究人员称,思科已经修复了漏洞,但他们不清楚其它路由器厂商有没有修复。鉴于大多数路由器用户并不更新固件,因此绝大多数路由器仍然容易被利用。 稿源:solidot奇客,封面源自网络  

美国 Netgear WNR2000 路由器曝多个漏洞,可获取管理员密码、远程劫持设备

安全研究员 Pedro Ribeiro 发现美国 Netgear 路由器 WNR2000 存在多个漏洞。如果路由器开启了远程管理功能,攻击者可利用漏洞获取管理员密码、完全控制受影响设备。 安全研究员在 11 月 29 日收到 CERT 回复称 NETGEAR 不理睬漏洞报告并建议公布漏洞信息。 专家表示, NETGEAR WNR2000 路由器允许管理员通过一个名为 apply.cgi 的 CGI 脚本在 Web 管理界面执行敏感操作。研究员逆向分析脚本发现,另外一个函数 apply_noauth.cgi 可允许未经身份验证的用户在设备上执行相同的敏感的操作,如重启路由器、恢复出厂设置。研究员还发现函数 URL 中可添加“时间戳”变量从而执行其他功能,如改变互联网无线局域网设置或检索管理员密码,攻击者再结合信息泄漏的相关漏洞,有很大可能恢复管理员密码。该密码可用来启用路由器的 telnet 功能,如果攻击者和设备在同一局域网内,攻击者可远程登录路由器并获得 root shell 。 重新启动路由器代码: ==== POST /apply_noauth.cgi?/reboot_waiting.htm HTTP/1.1 Host: 192.168.1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 26 submit_flag=reboot&yes=Yes ==== 最后研究员还发现了一个堆栈缓冲区溢出漏洞。最终未经认证的攻击者可结合利用栈缓冲区溢出漏洞、apply_noauth.cgi 问题以及时间戳识别攻击,获得该设备的完全控制权并在局域网或广域网中的远程执行代码。 开启远程管理功能后受影响的版本: WNR2000v5,所有固件版本(硬件确认) WNR2000v4,所有的固件版本(仅由静态分析确认) WNR2000v3,所有的固件版本(仅由静态分析确认) 此前,Netgear 路由器 R7000 和 R6400 型号也被报出存在任意命令注入漏洞。 稿源:本站翻译整理,封面来源:百度搜索