近日，安全研究人員對市場上主流的6款熱門路由器進(jìn)行測試，報(bào)告顯示，即使將固件版本更新至最新，還是發(fā)現(xiàn)了226個(gè)漏洞。本次測試的路由器品牌包括Asus、AVM、D-Link、Netgear、Edimax、TP-Link、Synology和Linksys。

IoT Inspector的研究人員與CHIP雜志合作進(jìn)行了安全測試，重點(diǎn)是主要由小公司和家庭用戶使用的型號。就漏洞數(shù)量而言，排在前列的是TP-Link Archer AX6000，有32個(gè)漏洞以及Synology RT-2600ac，有30個(gè)安全漏洞。

IoT Inspector的首席技術(shù)官兼創(chuàng)始人Florian Lukavsky表示：“評測之前，我們已經(jīng)將這些主流路由器的版本升至最新。”IoT Inspector自動(dòng)分析了這些固件版本，并檢查了5000多個(gè)CVE和其他安全問題。他們的發(fā)現(xiàn)表明，許多路由器仍然容易受到公開披露的漏洞的影響，即使使用最新的固件，如下表所示：。

另外，該團(tuán)隊(duì)發(fā)現(xiàn)了一些影響大多數(shù)測試機(jī)型的常見問題：固件使用過時(shí)的Linux內(nèi)核、過時(shí)的多媒體和虛擬網(wǎng)絡(luò)功能、過度依賴舊版本的BusyBox、使用弱的默認(rèn)密碼，如“admin”、以純文本形式存在的硬編碼憑證。

IoT Inspector的首席執(zhí)行官Jan Wendenburg指出，確保路由器安全的最重要方法之一是在首次配置設(shè)備時(shí)更改默認(rèn)密碼。

利用該密鑰，威脅者可以發(fā)送惡意的固件圖像更新，以通過設(shè)備上的驗(yàn)證檢查，有可能在路由器上植入惡意軟件。這種問題可以通過全盤加密來解決，這種加密可以保證本地存儲的圖像的安全，但這種做法并不常見。