立刻更新固件!华硕高端路由器曝出远程代码执行高危漏洞
近日,华硕三款高端WiFi路由器(RT-AX55、RT-AX56U_V2和RT-AC86U)曝出三个远程代码执行高危漏洞(CVSSv3.1评分高达9.8分),黑客可远程访问并劫持用户路由器,建议以上三款产品用户立刻安装安全更新。 这三款WiFi路由器是消费级网络市场流行的高端型号,目前在华硕网站和各大电商平台上有售,深受游戏玩家和对性能需求较高的用户的青睐。 披露的三个高危漏洞都属于格式字符串漏洞,无需身份验证即可远程利用,可能允许远程代码执行、服务中断以及在设备上执行任意操作。 格式字符串漏洞是由于某些函数的格式字符串参数中未经验证和/或未经过滤的用户输入而引起的安全问题,包括信息泄露和代码执行。 中国台湾CERT本周二披露的三个漏洞的具体信息如下: CVE-2023-39238:缺乏对iperf相关API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证。 CVE-2023-39239:通用设置函数的API中缺乏对输入格式字符串的正确验证。 CVE-2023-39240:缺乏对iperf相关API模块“ser_iperf3_cli.cgi”上的输入格式字符串的正确验证。 华硕官方推荐的解决方案是安装以下固件更新: RT-AX55:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55) RT-AX56U_V2:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U) RT-AC86U:3.0.0.4.386_51915或更高版本(https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U) 华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对RT-AC86U发布了修复这三个漏洞的补丁。 至今尚未安装安全更新的上述三款设备非常容易受到攻击,建议用户尽快更新固件版本。 此外,由于许多攻击针对消费者路由器的Web管理控制台,安全专家强烈建议用户关闭远程管理(WAN Web访问)功能以防止从互联网进行访问。 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/rNRfOnUIPFytBVL939WLEg 封面来源于网络,如有侵权请联系删除
华硕路由器全球大规模宕机、断网!官方道歉
近日,全球多地华硕路由器的用户反馈,他们的设备突然莫名其妙地死机,然后在反复重启后,每隔几分钟就会因为设备内存耗尽而停止工作。华硕官方就服务器端安全维护错误向其客户道歉,该错误导致大量受影响的路由器型号失去网络连接。 自2023年5月16日以来,该问题已在社交媒体和讨论平台上得到广泛报道,人们对多个华硕路由器同时出现的连接问题感到困惑,而其他人则抱怨供应商方面缺乏沟通。 正如这家台湾硬件制造商在今天发布的声明和安全公告中所解释的那样,该问题是由服务器设置文件配置错误引起的。 华硕在支持公告中解释道:“在例行安全维护期间,我们的技术团队发现我们服务器设置文件的配置存在错误,这可能会导致部分路由器的网络连接中断。” 华硕路由器连接问题声明 虽然该公司的声明没有明确说明发生了什么类型的错误以及它对远程路由器的影响究竟如何,但Reddit上的一位用户解释说,连接问题是由ASD(ASUS AiProtection )的损坏定义文件引起的。 Reddit上的用户解释道,“更新固件几乎可以普遍解决这个问题,但只要清除NVRAM,只需将路由器重置为出厂默认设置也是如此。事实上,任何删除有问题的文件 (/jffs/asd/chknvram20230516) 的方法都会使路由器恢复正常。” ASD 是 Trend Micro 提供的内置安全守护程序,广泛用于各种路由器型号,以实时防御新出现的威胁。但是,无论用户是否在其设备上启用了自动安全(固件)更新,该组件都会更新。 据报道,损坏的 ASD 定义文件被自动推送到所有受影响的路由器,导致它们耗尽文件系统空间和内存并最终崩溃。 修复问题 华硕表示其技术团队已经解决了服务器问题,因此所有受影响的路由器现在应该恢复正常运行。 但在某些情况下,用户将不得不手动重启他们的设备以消除连接问题。 如果这仍然不够,华硕建议按照这些分步说明执行恢复出厂设置并重新上传设置文件。 对于无法执行重置的受影响用户,供应商建议他们按住设备上的重置按钮 5-10 秒,直到电源 LED 指示灯开始闪烁,这表明重置已完成。 供应商在声明中总结道,“对于此次事件可能造成的任何不便,我们深表歉意,并致力于防止此类事件再次发生。对于已执行建议操作但仍遇到问题的用户联系‘华硕支持’以获得更多帮助和指导。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OVRs3Q0751SQ9xr002Yfpw 封面来源于网络,如有侵权请联系删除
工业路由器面临风险:新漏洞可控制数十万台设备和 OT 网络
以色列工业网络安全公司OTORIO在上周的黑帽亚洲2023会议上公布了与三家工业蜂窝路由器供应商有关的云管理平台中的一些安全漏洞,这些漏洞可能使操作技术(OT)网络受到外部攻击。 在会议上总计公布了11个漏洞,这11个漏洞允许远程代码执行和控制数十万台设备和OT网络(在特定情况下),甚至是那些没有主动配置使用云的设备。 具体来说,这些漏洞存在于Sierra Wireless、Teltonika Networks和InHand Networks提供的基于云的管理解决方案中,用于远程管理和操作设备。 利用这些漏洞可能会给工业环境带来严重风险,使攻击者绕过安全层,并渗出敏感信息,在内部网络上远程实现代码执行。 更令人担心的是,这些问题可能被武器化,以获得对网络中设备的未授权访问,并执行恶意操作,例如使用提升的权限关闭。 根据三种不同的攻击载体,通过其基于云的管理平台,这些攻击载体可被利用来破坏和接管云管理的IIoT设备: 薄弱的资产注册机制(Sierra Wireless): 攻击者可以扫描连接到云端的未注册的设备,通过利用AirVantage在线保修检查工具获得它们的序列号,将它们注册到他们控制的账户中,并执行任意命令。 安全配置的漏洞(InHand Networks): 未经授权的用户可以利用CVE-2023-22601、CVE-2023-22600和CVE-2023-22598的命令注入漏洞,以root权限获得远程代码执行,发布重启命令,并推送固件更新。 外部API和接口(Teltonika Networks): 攻击者可以滥用远程管理系统(RMS)中发现的多个问题,”暴露敏感的设备信息和设备凭证,实现远程代码执行,暴露网络上管理的连接设备,并允许冒充合法设备。” 影响Teltonika Networks的六个漏洞(CVE-2023-32346、CVE-2023-32347、CVE-2023-32348、CVE-2023-2586、CVE-2023-2587和CVE-2023-2588)是在与Claroty合作进行的 “全面研究 “后发现的。 攻击者成功利用这些工业路由器和物联网设备可以对被攻击的设备和网络造成一系列影响,包括监控网络流量和窃取敏感数据,劫持互联网连接和访问内部服务。 OTORIO说,云管理的设备带来了巨大的供应链风险,攻击者可以通过入侵一个供应商作为后门一次扫描访问多个OT网络。 在网络安全公司披露无线工业物联网(IIoT)设备中的38个安全漏洞三个多月后,这一发展可能为攻击者提供通往内部OT网络的直接路径,并使关键基础设施面临风险。 安全研究员Roni Gavrilov说:随着IIoT设备的部署变得越来越流行,必须意识到他们的云管理平台可能成为攻击者的目标。一个被利用的IIoT供应商平台可以作为攻击者的支点,同时访问成千上万的环境。 转自 Freebuf,原文链接:https://www.freebuf.com/news/366570.html 封面来源于网络,如有侵权请联系删除
大量二手企业级路由器暗藏敏感数据
安全研究人员发现二手市场上的企业级网络设备暗藏很多敏感数据,黑客可以利用这些数据来入侵公司网络或获取客户信息。 核心路由器是大型企业网络的骨干设备,用于连接所有其他网络设备,支持多个数据通信接口,是企业IP网络和应用的高速枢纽,也是黑客觊觎的主要目标之一。 近日,网络安全公司ESET的研究人员检查了几款从在线平台上购买的二手企业级路由器(编者:在国内二手交易市场上仅需数百元至数千元就可以买到多种品牌的二手企业级路由器),发现其中大多数在报废流程中没有被彻底擦除数据。 二手核心路由器暗藏敏感数据 网络安全公司ESET的研究人员在线购买了18台二手核心路由器,发现仍可正常使用的设备中一半以上保存着可访问的完整配置数据。 最初,ESET研究团队购买这些二手路由器用于设置测试环境,结果发现这些路由器没有被正确擦除,保留了网络配置数据以及可用于识别以前所有者的信息。 研究人员购买的设备包括思科(ASA 5500)的4台设备,Fortinet(Fortigate系列)的3台设备和来自瞻博网络(SRX系列服务网关)的11台设备。 在本周早些时候的一份报告中,Cameron Camp和Tony Anscombe表示,一台设备在抵达时已无法正常工作,被从测试中淘汰,其中两台设备是彼此的镜像,在评估结果中算作一个。 在剩下的16台设备中,只有5台设备被正确擦除,只有2台设备得当安全强化(其中保存的配置数据访问难度较大)。 其余9台设备没有被正确擦除或强化,研究人员可以轻松访问前用户配置网络和系统连接的完整配置数据,包括所有者信息。 公司网络设备的报废流程中,管理员通常需要运行一些命令来安全地擦除配置并重置配置。如果没有执行上述措施,第三方可通过恢复模式来从二手市场的核心路由器中访问配置数据。 处于管理盲区的“硬件泄露” 研究人员表示,一些路由器保留了客户信息,允许第三方连接到网络的数据,甚至是“作为受信任方连接到其他网络的凭据”。 此外,在上述测试中,保留了完整配置数据的9台路由器中有8台还保存了路由器到路由器身份验证密钥和哈希。公司机密列表扩展到本地或云中托管的敏感应用程序的完整映射。例如:Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon和SQL等。 “攻击者可根据(路由器泄露的)应用程序粒度和特定版本,在整个网络拓扑中部署特定的漏洞利用。”-ESET 研究人员解释说,如此详细的内部信息通常只有“高级权限人员”才能访问,例如网络管理员及其经理。 黑客可通过二手核心路由器中的这些敏感信息轻松制定攻击路径和计划,深入网络而不被发现。 “有了如此详细的网络信息,模拟网络或内部主机对于攻击者来说会简单得多,特别是二手路由器设备通常还包含VPN凭据或其他容易破解的身份验证令牌”-ESET 更糟糕的是,通过分析二手路由器中的信息,研究人员发现其中一些路由器来自托管IT提供商的环境,这些托管提供商运营着(很多)大公司的网络。 其中一台设备甚至来自托管安全服务提供商(MSSP),该提供商为各个领域(例如教育、金融、医疗、制造业)的数百个客户处理网络。 最后,研究人员强烈建议企业在淘汰网络设备之前正确擦除数据。公司应该制定并严格执行安全销毁和处置数字设备的流程,彻底清理设备中的潜在敏感数据,将其恢复为出厂默认状态。 研究人员还警告说,使用第三方服务进行设备销毁或擦除可能并不是个好主意。因为当ESET通知路由器原用户时发现,很多公司使用了第三方服务(但设备并未被正确擦除)。 转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/yS7lfvQpoxNyR1DeSbP58g 封面来源于网络,如有侵权请联系删除
CISA:5 款 D-Link 淘汰型号存在安全风险 推荐用户尽快升级
路由器是网络中必不可少的网络设备,但也往往被我们所忽略。只要路由器能够满足我们的上网需求,即便是停止支持我们也会继续使用。但我们也忽略了这些路由器存在的安全隐患,网络安全和基础设施机构(CISA)正在提醒 D-Link 的客户:近期又有 5 个 D-Link 型号被添加到该机构的脆弱设备名单 当路由器达到其使用寿命时(如受此漏洞影响的设备),漏洞变得更加严重。制造商有责任用新的补丁来解决这些问题,但他们一般不会为报废设备推送更新(只有少数罕见的例外)。 CISA 报告称 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L 和 DIR-836L 这 5 款型号的路由器存在“远程代码执行”漏洞。据 Malwarebytes 实验室称,攻击者可以利用“诊断钩子”(diagnostic hooks),在没有适当认证的情况下进行动态 DNS 调用,使他们能够控制受影响的路由器。 值得注意的是,Github 用户 doudoudedi表示针对这一漏洞的概念证明黑客已经存在于野外。因此,D-Link 建议尽快更换你可能拥有的任何受影响的路由器。产生更多的电子垃圾总是令人遗憾的,但在这种情况下,它是两害相权取其轻。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257167.htm 封面来源于网络,如有侵权请联系删除
9 款热门家用路由器实测:共发现 226 个漏洞 推荐更换默认密码
安全研究人员对市场上主流的 9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。本次测试的路由器品牌包括 Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology 和 Linksys,并被数百万人使用。 IoT Inspector 的研究人员与 CHIP 杂志合作进行了安全测试,重点是主要由小公司和家庭用户使用的型号。 就漏洞数量而言,排在前列的是 TP-Link Archer AX6000,有 32 个缺陷;以及 Synology RT-2600ac,有 30 个安全漏洞。 IoT Inspector 的首席技术官兼创始人 Florian Lukavsky 通过电子邮件告诉 BleepingComputer:“对于 Chip 的路由器评估,供应商向他们提供了主流型号,这些型号被升级到最新的固件版本”。 IoT Inspector 自动分析了这些固件版本,并检查了 5000 多个 CVE 和其他安全问题。他们的发现表明,许多路由器仍然容易受到公开披露的漏洞的影响,即使使用最新的固件,如下表所示: 虽然不是所有的缺陷都有相同的风险,但该团队发现了一些影响大多数测试机型的常见问题。 ● 固件使用过时的 Linux 内核 ● 过时的多媒体和VPN功能 ● 过度依赖旧版本的BusyBox ● 使用弱的默认密码,如”admin” ● 以纯文本形式存在的硬编码凭证 IoT Inspector 的首席执行官 Jan Wendenburg 指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。他表示:“在第一次使用时更改密码,并启用自动更新功能,必须成为所有物联网设备的标准做法,无论设备是在家里还是在企业网络中使用”。 研究人员没有公布很多关于他们发现的技术细节,只有一个关于提取D-Link路由器固件图像的加密密钥的案例。该团队找到了一种方法,在 D-Link DIR-X1560 上获得本地权限,并通过物理 UART 调试接口获得 shell 权限。 接下来,他们使用内置的 BusyBox 命令转储了整个文件系统,然后找到了负责解密程序的安装文件。通过分析相应的变量和函数,研究人员最终提取了用于固件加密的AES密钥。 利用该密钥,威胁者可以发送恶意的固件图像更新,以通过设备上的验证检查,有可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决,这种加密可以保证本地存储的图像的安全,但这种做法并不常见。 (消息及封面来源:cnBeta)
恶意软件将路由器捆绑至僵尸网络 黑客可以借此发动DDoS攻击
成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击,恶意软件将设备捆绑到僵尸网络中,使其具有分布式拒绝服务(DDoS)攻击功能,并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt(也称为Bashlite)进行了更新,华为HG532和Realtek RTL81XX一直是Gafgyt的目标,现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下,恶意软件都通过扫描程序来查找公网节点,然后利用漏洞实现入侵。专家称,为了在攻击时获得充分资源,新版本的Gafgyt会杀死JenX之类的其他恶意软件,从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争,后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击,还主要将其用于攻击游戏服务器,尤其是那些使用Valve Source Engine的游戏,包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的,而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出,僵尸网络租用服务在Instagram上使用伪造的个人资料做广告,租用费用仅为8美元。 专家介绍说:“显然,他们可以通过该平台接触到大量年轻人,所有人都可以使用这些服务,而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网,如果设备没有保持最新状态,将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器,其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号,并应定期应用软件更新以确保设备受到保护,尽可能地抵抗攻击。 Davila说道:“总的来说,用户可以养成习惯,例如更新路由器,安装最新补丁程序,并设置复杂的密码,从而抵御僵尸网络的攻击。” 消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
四款 D-Link 路由器发现无法修复的漏洞 唯一选择是弃之不用
DIR-652,DIR-655,DIR-866L和DHP-1565这四款D-Link路由器中发现了严重的安全漏洞。如果你不幸的拥有这四款路由器中任意一款,那么为了你的安全唯一的选择就是弃之不用,因为这个漏洞永远无法修复。 来自Fortinet的安全专家上周透露,上述四款路由器中存在一个“未经身份认证的命令注入漏洞”,黑客可以利用该漏洞执行任意远程代码。换言之,遍布全球的黑客可以非常容易的劫持这些路由器,然后监视你的互联网流量,或者引导你到恶意网站上。 不幸的是,其中一种型号DIR-866L于2014年推出,已经在2018年停产。另一种型号DIR-655,于2006年推出,也在去年停产了。而DIR-655, DIR-866L和DHP-1565这三款路由器依然能够亚马逊美国官方网站进行购买,而且DIR-655还是亚马逊的推荐路由器型号。 如果你去年购买了路由器,那么你肯定希望能够正常使用12个月以上,尤其是亚马逊官方推荐的路由器型号。类似于Netgear等一些路由器厂商,在停产之后依然会提供安全更新。 不过D-Link是在设备停产之后就不再提供安全更新,因此在选购之前还需要考虑它的上市时间,以及它的支持周期。 (稿源:cnBeta,封面源自网络。)
Web 工具 MANRS Observatory 发布:可监测网络路由安全
近期由非营利组织国际互联网协会(Internet Society)支持倡导的路由安全相互协议规范(MANRS)活动,致力于让互联网服务提供商注意他们的举止,特别是涉及如何使用边界网关协议(BGP),偶尔滥用通信方法驱动互联网流量的大部分路由。 在8月13日,MANRS倡议活动启动了MANRS Observatory,这是一项全新的Web工具,可以深入了解网络如何符合路由安全标准。该观察站为大多数用户提供了看不到的互联网部分透明度。 路由安全对网路的未来和稳定至关重要,但它却一直遭受威胁2018年有超过12000起路由中断或攻击事件,造成资料遭窃,损失收入,损害声誉等;去年因奈及利亚ISP业者引起的路由泄露,使得谷歌的讯务被误导至中国,导致世界许多地方网路中断,另外,今年6月,一次大规模的路由泄露让网路断线好几小时。 MANRS Observatory藉由追踪路由事件的数量,以及监测MANRS行动指标,来显示该网路遵守MANRS的合规程度。该工具将来自多个可信任第三方的数据,并使用对使用者友好的界面呈现。 使用MANRS Observatory工具的好处: 成效衡量指标:参与者可轻松地监控他们遵守MANRS要求的合规程度,并对其安全控制进行必要的调整。 业务发展:参与者可比较他们与同行间的表现,并利用MANRS瞭望台来判断潜在合作伙伴的安全措施是否达到标准。 政府:政策制定者更可了解路由安全和灵活性的情况,并透过呼吁采用MANRS最佳实践做改善。 社会责任:实施MANRS是自愿性的,步骤简单,且不会造成破坏瞭望台可协助参与者确保他们和同行的网路安全,也有助于提高整体网路的路由安全。 (稿源:cnBeta,封面源自网络。)
部分用户路由器被黑客攻击 或造成访问延迟或失败
讯 2月20日下午消息,近日,部分网友反馈路由器信号不好、网速不快。对此,域名解析服务商DNSPod发布公告解释称,近日监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件。 DNSPod称,该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。 DNSPod为用户提供了临时解决方案,详情如下。 以下为NSPod公告全文: 尊敬的DNSPod用户 近日我们监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件,非DNSPod问题。该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。 临时解决方案: 1、引导报障用户检查无线路由器DNS是否被黑客篡改,并及时修正DNS。可改为运营商默认DNS或者我们对外提供的公共DNS:119.29.29.29或119.28.28.28 2、建议DNSPod客户临时将江苏电信线路调整使用BGP节点进行覆盖 3、目前DNSPod也在联合第三方和有关部门(CNCERT等)进一步分析处理,有最新消息将及时同步,详情请关注后续DNSPod及CNCERT的公告。 (稿源:,稿件以及封面源自网络。)