閱讀: 281|回覆: 0

D-Link 路由器遭爆有後門漏洞 [複製連結]

Rank: 9Rank: 9Rank: 9

發表
3191
註冊時間
2008-1-30

管理員

發表於 2013-10-14 22:00:07 |顯示全部樓層
D-Link 路由器遭爆有後門漏洞
文/蘇文彬 (記者) 2013-10-14

專門研究嵌入式裝置安全問題的/dev/ttys0揭露國內知名網通品牌友訊科技(D-Link)旗下部份路由器產品管理平台存在漏洞,可在未經過使用者授權下進入路由器管理介面,控制設定路由器功能。

根據/dev/ttys0所揭露的訊息,D-Link旗下部份路由器被發現安全漏洞,利用該漏洞跳過管理權限控制,受影響D-Link路由器機型包含DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+及TM-G5240等。另外,日商Planex的兩款路由器BRL-04UR、BRL-04CW也因使用相同韌體存在同樣的安全風險。

正常情形下使用者需通過帳號、密碼驗證才能登入管理頁面,但被發現的漏洞可讓第三方不需經過驗證,就能直接控制路由器。該漏洞存在於路由器韌體v1.13版本,只要修改瀏覽器上的使用者代理字串(user agent string)為xmlset_roodkcableoj288409ybtide,就能略過登入程序直接進入管理頁面,控制路由器各項功能。

揭露該漏洞的Craig猜測該後門漏洞存在的原因可能因開發者為了讓某些程式、服務可以自動依需要修改路由器功能而設計,但是這個後門漏洞也允許其他人在使用者不知情、未授權情形下使用,存在安全管理上的風險。

記者向D-Link詢問路由器後門漏洞,但截至截稿為止,D-Link尚未針對旗下的路由器存在的後門風險作出回覆。

部份可能受影響的D-Link路由器推出已有一段時間,建議使用者更新路由器韌體版本,並將路由器的開放公開存取設定功能關閉,以避免他人存取路由器管理頁面。

http://www.ithome.com.tw/itadm/article.php?c=83160
← 按讚加入粉絲團!
您需要登入後才可以回覆 登入 | 立即註冊 |

bottom

聯繫我們|手機版|就是酷資訊網 |

GMT+8, 2016-12-10 11:01 , Processed in 0.034086 second(s), 11 queries , Gzip On.

Powered by Discuz!
© 2008-2013 JustCool Inc.

回頂部