安全研究人員近日發(fā)現(xiàn)，成千上萬(wàn)臺(tái)TP-Link路由器存在嚴(yán)重漏洞，可被威脅行為者用于遠(yuǎn)程劫持攻擊。盡管早就收到了風(fēng)險(xiǎn)曝光，但TP-Link公司花了一年多的時(shí)間才在其網(wǎng)站上發(fā)布了修復(fù)補(bǔ)丁。

[[266377]]

遠(yuǎn)程劫持風(fēng)險(xiǎn)

據(jù)了解，該漏洞(CVE-2017-13772)允許任何攻擊者通過(guò)遠(yuǎn)程操作輕松獲得對(duì)受影響路由器的完全訪問(wèn)權(quán)限，并不需要多高端的黑客技術(shù)。原因在于該漏洞依賴路由器的默認(rèn)密碼來(lái)工作，而許多用戶對(duì)路由器設(shè)備的出廠默認(rèn)密碼從未修改過(guò)。

在最糟糕的情況下，威脅行為者可以大規(guī)模針對(duì)這些易損路由器設(shè)備進(jìn)行攻擊，使用類似Mirai這樣的僵尸網(wǎng)絡(luò)的機(jī)制——“地毯式”搜索無(wú)線路由網(wǎng)絡(luò)，并使用“admin”和“pass”等默認(rèn)密碼來(lái)劫持路由器。

TP-Link遲遲未修復(fù)漏洞

英國(guó)網(wǎng)絡(luò)安全公司Fidus Information Security的創(chuàng)始人Andrew Mabbitt ，早在2017年10月就首次發(fā)現(xiàn)并披露了針對(duì)TP-Link路由器的遠(yuǎn)程代碼執(zhí)行漏洞。幾周后，TP-Link為易受攻擊的WR940N路由器發(fā)布了一個(gè)修補(bǔ)程序。Mabbitt在2018年1月再次提醒TP-Link公司，其另一型號(hào)的WR740N路由器也容易受到同樣的漏洞利用攻擊，因?yàn)樵摴驹谶@兩種型號(hào)的路由器上重復(fù)使用了易受攻擊的代碼。

TP-Link當(dāng)時(shí)表示，針對(duì)這兩種型號(hào)的路由器的漏洞很快就被修補(bǔ)了。但是當(dāng)研究人員仔細(xì)檢查時(shí)，該公司網(wǎng)站上沒(méi)有發(fā)布針對(duì)WR740N的修復(fù)固件。當(dāng)被問(wèn)到時(shí)，TP-Link的發(fā)言人表示，該修復(fù)固件“目前可在技術(shù)支持部門要求時(shí)提供”，但沒(méi)有解釋為何沒(méi)有公開(kāi)發(fā)布的原因。在近日媒體曝光后，TP-Link才更新了其官網(wǎng)固件下載頁(yè)面，其中包含最新的安全更新。距離第一次收到提醒，已長(zhǎng)達(dá)兩年之久。

Mabbitt認(rèn)為TP-Link公司有責(zé)任主動(dòng)提醒客戶并提供安全更新，而非被動(dòng)等待用戶聯(lián)系以獲得技術(shù)支持。

路由器安全問(wèn)題堪憂

路由器長(zhǎng)期以來(lái)因安全問(wèn)題而臭名昭著，任何存在漏洞的路由器都可能會(huì)對(duì)其連接的所有設(shè)備產(chǎn)生災(zāi)難性影響。Mabbitt說(shuō)，通過(guò)獲得對(duì)路由器的完全控制，攻擊者可能會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成嚴(yán)重破壞。攻擊者修改路由器上的設(shè)置會(huì)影響連接到同一網(wǎng)絡(luò)的所有設(shè)備，例如更改DNS設(shè)置以誘騙用戶訪問(wèn)虛假頁(yè)面以竊取其登錄憑據(jù)。

TP-Link公司拒絕透露它已銷售了多少易受潛在攻擊的路由器，但表示W(wǎng)R740N型號(hào)在2017年前已經(jīng)停產(chǎn)。當(dāng)研究人員在Shodan和Binary Edge(檢測(cè)暴露設(shè)備和數(shù)據(jù)庫(kù)的搜索引擎)上搜索時(shí)，發(fā)現(xiàn)了約129,000到149,000臺(tái)設(shè)備，盡管易受攻擊設(shè)備的數(shù)量可能要低得多。

無(wú)論在英國(guó)和美國(guó)(加利福尼亞州)都規(guī)定出售這些電子設(shè)備的公司需要預(yù)先設(shè)置唯一默認(rèn)密碼，防止僵尸網(wǎng)絡(luò)大規(guī)模劫持互聯(lián)網(wǎng)連接的設(shè)備，并以此使網(wǎng)站離線，無(wú)法正常運(yùn)營(yíng)。此前，Mirai僵尸網(wǎng)絡(luò)就曾攻擊了域名服務(wù)提供商Dyn，在幾個(gè)小時(shí)內(nèi)離線了其數(shù)十個(gè)主要網(wǎng)站，包括Twitter、Spotify和SoundCloud。

路由器劫持危機(jī)

信息竊取

攻擊者遠(yuǎn)程對(duì)用戶的路由器劫持和監(jiān)控，甚至可以將該路由器的固件改造成其自制的版本，從而完全接管聯(lián)網(wǎng)的設(shè)備。用戶通過(guò)該設(shè)備上網(wǎng)，有可能跳轉(zhuǎn)到攻擊者提前設(shè)置好的釣魚(yú)網(wǎng)站，個(gè)人隱私、社交網(wǎng)絡(luò)賬號(hào)和網(wǎng)銀信息等都有被竊取的風(fēng)險(xiǎn)。

黑產(chǎn)作祟

攻擊者大肆篡改、劫持用戶路由器的DNS地址，其背后廣告商也在推波助瀾，一條完整的黑色產(chǎn)業(yè)鏈已經(jīng)形成。這種劫持廣告甚至能根據(jù)用戶瀏覽的頁(yè)面內(nèi)容，定向展示關(guān)聯(lián)廣告。如一位患者在百度上搜人流、醫(yī)院這些關(guān)鍵詞，在搜索的結(jié)果頁(yè)面中，就能直接彈出指定醫(yī)院的廣告，鏈接該院首頁(yè)。廣告利益的驅(qū)動(dòng)使路由器劫持已經(jīng)形成一條從黑客——投放平臺(tái)——廣告商的完整產(chǎn)業(yè)鏈。

生產(chǎn)商預(yù)先設(shè)置后門

生廠商自己留有后門程序，以便日后檢測(cè)、調(diào)試需要，但是管理權(quán)限易被黑客劫持。目前路由器廠家的主流產(chǎn)品，可能留有一個(gè)超級(jí)管理權(quán)限，在安全防范措施較弱的情況下，這恰恰為黑客劫持路由器提供了最大便利。

如知名廠商D-link在其多款主流路由器產(chǎn)品中，就留下了這樣一個(gè)嚴(yán)重的后門。用一個(gè)roodkcableo28840ybtide的關(guān)鍵密匙，就能通過(guò)遠(yuǎn)程登錄，輕松拿到大多數(shù)D-link路由器的管理權(quán)限。