标签: 路由器

黑客 BestBuy 认罪,曾劫持德国电信路由器逾 90 万台导致 200 万欧元损失

据外媒报道,29 岁黑客 BestBuy 于 7 月 21 日在德国法庭认罪,曾使用 Mirai IoT 恶意软件自定义版本劫持德国电信路由器逾 90 万台。目前,德国预计此次网络攻击损失超过 200 万欧元。 7 月初,调查人员布莱恩·克雷布斯(Brian Krebs)表示,他们发现黑客 BestBuy 真实身份,即英国丹尼尔·凯耶(Daniel Kaye)。调查显示,BestBuy 在该起网络攻击活动中提供了恶意软件源代码,包括代码签名数字证书( 网络黑市 TheRealDeal 中售价接近 4.5 比特币 )。 英国警方表示,BestBuy 于 2016 年 11 月下旬通过恶意代码新变种感染德国电信路由器,发动 DDoS 攻击。随后,这黑客又于 12 月使用另一版本恶意软件 Mirai ,造成英国 10 万台路由器处于离线状态。据悉,BestBuy 于 2017 年 2 月底在伦敦机场被捕后被引渡德国。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密曝光 CIA 新路由器网络攻击方式

据外媒报道,路由器几乎是每一个网络的前门,除了提供访问入口,它还能为阻止远程网络攻击提供一定的安全保护作用。所以,如果路由器沦陷,那么也就意味着攻击者可以看到用户在网上做的每一个动作。根据维基解密最新曝光的文件显示,CIA 就拥有能够做到这点的工具。 根据文件描述了解到,CIA 一个叫做 Cherry Blossom 的项目可以通过一个修改过的给定路由器固件将路由器变成一个监控工具。一旦部署成功,Cherry Blossom 就能让在被攻击者的网络上展开远程代理监控、扫描诸如密码的实用信息甚至还能重定向被攻击者想要访问的网站。 获悉,维基解密曝光的文件来源于 2012 年 8 月,所以现在并不清楚 CIA 在这 5 年间是否有升级过 Cherry Blossom ,或许它已经停止使用。另外,从曝光的文件了解到,Cherry Blossom 对来自华硕、贝尔金、Buffalo、戴尔、DLink、Linksys、摩托罗拉、Negear、Senao、US Robotics 这 10 家厂商的近 25 种不同的设备都有效。 此外,文件还提到,CIA 通过 Claymore 工具或一个供应链操作将 Cherry Blossom 固件植入到无线设备中。“ 供应链操作 ” 很有可能指的是在工厂和用户之间拦截设备,这是间谍活动的常用手段。目前并不清楚该固件植入的使用范围有多广,不过文件指出该类型攻击只针对特定目标发起,而非大规模监控。 稿源:cnBeta,封面源自网络

恶意程序使用路由器 LED 灯从安全网络窃取数据

以色列本·古里安大学的研究人员开发出一款恶意程序,当安装到路由器或网关上时它能控制设备上的 LED 灯,使用 LED 以二进制格式向附近的攻击者传输数据,攻击者可以使用视频记录设备接收数据。 在最新的研究中,路由器和网关上的 LED 灯有很多,因而窃取效率更高。研究人员表示,他们能以每个 LED 1000 比特的速度窃取数据。 此外,研究人员还发现能够利用目标电脑上的机械硬盘声音以及硬盘 LED 灯等方法窃取不联网设备上的数据。 稿源:cnBeta、solidot奇客,封面源自网络

Netgear 路由器 NightHawk R7000 新款固件具有远程数据收集功能

据外媒报道,美国知名企业 Netgear 公司于上周更新的 Netgear NightHawk R7000 无线路由器固件具有远程数据收集功能,可收集路由分析数据并发送至厂商服务器。 安全研究人员 AceW0rm 于去年 8 月发现多款 NetGear 路由器存在远程代码漏洞并上报厂商,但 Netgear 公司并未做出任何回应。随后,AceW0rm 于同年 12 月公开披露该漏洞概念验证代码。 调查显示,Netgear NightHawk R7000 路由器新款固件可收集路由器连接设备的总数、IP 地址、MAC 地址、WiFi 信息以及连接WiFi的设备信息等数据。 目前,Netgear 正低调处理该问题并声称新固件数据收集功能属于常规诊断处理范畴,有助于厂商快速了解用户操作习惯与路由器运行方式。Netgear表示,如果用户注重隐私且不希望 Netgear 收集数据信息,可禁用此功能或使用 DD-WRT(一款基于 Linux 的开源固件,旨在加强无线网络路由器的安全与性能)替换该固件。 原作者: Wang Wei, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

时隔四年思科终于披露 Linksys 路由器远程访问漏洞细节

2013 年 1 月,DefenseCode 的安全研究人员发现,Cisco Linksys(现属于 Belkin)的路由器默认安装下存在一个远程 root 访问漏洞。漏洞后来发现实际上存在于 Broadcom 的 UPnP 实现中,这一实现被路由器广泛使用,也就是说漏洞不只是存在于思科的产品中,其它路由器厂商也受到影响,其中包括华硕、D-Link、 Zyxel、US Robotics、TP-Link、Netgear 等。受影响的设备数以百万计,研究人员因此没有公开他们的发现。 直到四年后的今天,他们正式披露了这一影响广泛的漏洞。研究人员称,思科已经修复了漏洞,但他们不清楚其它路由器厂商有没有修复。鉴于大多数路由器用户并不更新固件,因此绝大多数路由器仍然容易被利用。 稿源:solidot奇客,封面源自网络  

美国 Netgear WNR2000 路由器曝多个漏洞,可获取管理员密码、远程劫持设备

安全研究员 Pedro Ribeiro 发现美国 Netgear 路由器 WNR2000 存在多个漏洞。如果路由器开启了远程管理功能,攻击者可利用漏洞获取管理员密码、完全控制受影响设备。 安全研究员在 11 月 29 日收到 CERT 回复称 NETGEAR 不理睬漏洞报告并建议公布漏洞信息。 专家表示, NETGEAR WNR2000 路由器允许管理员通过一个名为 apply.cgi 的 CGI 脚本在 Web 管理界面执行敏感操作。研究员逆向分析脚本发现,另外一个函数 apply_noauth.cgi 可允许未经身份验证的用户在设备上执行相同的敏感的操作,如重启路由器、恢复出厂设置。研究员还发现函数 URL 中可添加“时间戳”变量从而执行其他功能,如改变互联网无线局域网设置或检索管理员密码,攻击者再结合信息泄漏的相关漏洞,有很大可能恢复管理员密码。该密码可用来启用路由器的 telnet 功能,如果攻击者和设备在同一局域网内,攻击者可远程登录路由器并获得 root shell 。 重新启动路由器代码: ==== POST /apply_noauth.cgi?/reboot_waiting.htm HTTP/1.1 Host: 192.168.1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 26 submit_flag=reboot&yes=Yes ==== 最后研究员还发现了一个堆栈缓冲区溢出漏洞。最终未经认证的攻击者可结合利用栈缓冲区溢出漏洞、apply_noauth.cgi 问题以及时间戳识别攻击,获得该设备的完全控制权并在局域网或广域网中的远程执行代码。 开启远程管理功能后受影响的版本: WNR2000v5,所有固件版本(硬件确认) WNR2000v4,所有的固件版本(仅由静态分析确认) WNR2000v3,所有的固件版本(仅由静态分析确认) 此前,Netgear 路由器 R7000 和 R6400 型号也被报出存在任意命令注入漏洞。 稿源:本站翻译整理,封面来源:百度搜索

恶意软件 DNSChanger 通过恶意像素图片传播,更改 DNS 设置、劫持流量

不久前,我们报道过一个新的恶意广告活动“ Stegano ” ,攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。 现在,安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。DNSChanger 和其他恶意软件不同,它并不依赖于浏览器或者设备漏洞,而是利用家庭或小型办公室的路由器漏洞。DNSChanger 将更改 DNS 设置、劫持网络流量,进行中间人、欺诈、网络钓鱼攻击。 攻击原理: 攻击者在主流网站的广告图片中隐藏恶意代码,点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。 包含恶意 JavaScript 代码的图片会触发 WebRTC (网络通信协议)向 Mozilla 的 STUN 服务器发送请求,STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。如果目标的 IP 地址在攻击范围内,受害者将收到一个包含恶意代码的 PNG 图像广告,并再次使用恶意广告技术下载恶意软件 DNSChanger 。 恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵,恶意软件会改变 DNS 服务器设置,定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。 影响范围 目前,上百款路由器型号都受到影响,包括 · D-Link DSL-2740R · NetGear WNDR3400v3 (一系列型号) · Netgear R6200 · COMTREND ADSL Router CT-5367 C01_R12 · Pirelli ADSL2/2+ Wireless Router P.DGA4001N 解决方案 建议用户确保路由器运行最新版本的固件,使用强密码。此外还可以禁用远程管理,更改其默认本地 IP 地址,用不易修改的硬编码格式设置一个值得信赖的 DNS 服务器。 稿源:本站翻译整理,封面来源:百度搜索

美国 Netgear 路由器 R7000 和 R6400 曝任意命令注入漏洞

据外媒报道,安全专家在两个美国 Netgear 路由器 R7000 和 R6400 发现严重的安全问题,允许远程攻击者利用漏洞获得 root 权限运行恶意代码。 美国计算机紧急事件响应小组协调中心( CERT/CC )建议用户停止使用这两款路由器、等待安全补丁,以避免被黑客攻击。 受影响版本 Netgear R7000路由器,固件版本为1.0.7.2_1.1.93(可能包括更早版本) Netgear R6400路由器,固件版本为1.0.1.6_1.0.4(可能包括更早版本) 漏洞利用 这个安全漏洞的利用很简单,攻击者只需要受害者访问一个网站。 http:///cgi-bin/;COMMAND 其中包含特制的恶意代码来触发漏洞。远程攻击者可在目标路由器上以 root 权限执行任意命令, 基于局域网内的攻击者可以通过发送直接请求实现攻击。 该漏洞利用过程已公开发布。 稿源:本站翻译整理,封面来源:百度搜索

友讯 D-Link 路由器发现栈溢出漏洞(含 POC)

友讯科技(D-Link)的DR系列路由器发现了栈溢出漏洞,漏洞存在于 Home Network Automation Protocol (HNAP)服务中。在执行HNAP登录行动处理畸形SOAP信息时会导致栈的缓冲溢出,原因是存在漏洞的XML字段接受任意长的字符串,触发漏洞的一种方法就是向其发送超过3096 字节长度的字符串。漏洞影响友讯的DIR-823、DIR-822、DIR-818L(W)、DIR-895L、DIR-890L、DIR-885L、DIR-880L 和DIR-868L 产品。友讯尚未发布补丁,对用户来说权宜之计是关闭远程管理。利用该漏洞的Metasploit POC已经公布。安全研究员说,友讯在HNAP实现上有很长的漏洞史。 稿源:solidot奇客, 封面:百度搜索