根據(jù)外媒最新報(bào)道,美國(guó)卡耐基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急響應(yīng)小組(CMU CERT)在上周末發(fā)布公告稱,他們發(fā)現(xiàn)目前市面上在售的Netgear(美國(guó)網(wǎng)件)無(wú)線路由器存在一個(gè)嚴(yán)重并易于被攻擊的安全漏洞。因此建議網(wǎng)件用戶在該漏洞修復(fù)前停止使用相關(guān)路由器產(chǎn)品,以防中招。
網(wǎng)件(Netgear)無(wú)線路由器曝出命令注入漏洞
據(jù)悉,目前已被確認(rèn)受該漏洞影響的網(wǎng)件路由器型號(hào),包括R6400、R7000以及R8000。同時(shí),在上述路由器上運(yùn)行1.0.7.2_1.1.93及更早固件版本的網(wǎng)件路由器也被指出容易遭受攻擊。而且研究人員表示,網(wǎng)件其他型號(hào)也不排除受到該漏洞影響的可能。
CMU CERT指出,該漏洞存在于路由器的WEB管理界面上,其Web服務(wù)器通用網(wǎng)關(guān)接口(CGI)協(xié)議允許任何人獲得超級(jí)用戶(root)權(quán)限,并運(yùn)行任意的系統(tǒng)命令。
關(guān)鍵的是,利用該漏洞還相當(dāng)?shù)暮?jiǎn)單,攻擊者只需在局域網(wǎng)中,發(fā)出一個(gè)帶有附加命令字符串的URL即可觸發(fā)。
例如,啟動(dòng)一個(gè)未受保護(hù)的Telnet遠(yuǎn)程訪問(wèn)來(lái)監(jiān)聽(tīng)TCP 45端口時(shí),攻擊者只需鍵入http://IP-ADDRESS-OF-ROUTER/cgi-bin/;telnetd$IFS-p$IFS'45',其中,“IP-ADDRESS-OF-ROUTER”就是網(wǎng)件路由器默認(rèn)的本地IP地址,一般為192.168.0.1或類似地址。
而且通過(guò)欺騙本地用戶點(diǎn)擊類似的命令注入鏈接,攻擊者還可以實(shí)現(xiàn)對(duì)該漏洞的遠(yuǎn)程利用。
那么,針對(duì)該漏洞用戶該如何防護(hù)呢?目前CMU CERT并沒(méi)給出一個(gè)可行的應(yīng)急方案。
不過(guò)用戶可以通過(guò)關(guān)閉路由器的Web服務(wù)器來(lái)暫時(shí)阻止該漏洞被攻擊者利用。如輸入命令:http://[IP-ADDRESS-ROUTER]/cgi-bin/;killall$IFS'httpd',或者h(yuǎn)ttp://www.routerlogin.net/cgi-bin/;killall$IFS’httpd’。
使用該方法可以關(guān)閉Web服務(wù)器,使其不再通過(guò)CGI運(yùn)行系統(tǒng)命令。當(dāng)然,使用該命令后,用戶將無(wú)法再通過(guò)Web瀏覽器訪問(wèn)管理界面了。而且一旦路由器被重新啟動(dòng)后,Web服務(wù)器也會(huì)被重新啟動(dòng)。因此只可算作是個(gè)臨時(shí)性的應(yīng)對(duì)方法。
目前針對(duì)該漏洞,網(wǎng)件官方尚未發(fā)布安全公告或推出相應(yīng)的修復(fù)固件。所以用戶還需要自行展開(kāi)有效的防護(hù)措施了。