圖片來源: 

Kimchi - IT Security Blog

南韓籍安全研究人員Pierre Kim揭露網路設備製造商D-Link(友訊)所生產的DWR-932 B路由器含有約20個安全漏洞,由於D-Link並無修補時程表,基於安全考量,Kim直接建議用戶將之棄用。

仍在全球市場銷售的DWR-932 B是一個可用來分享4G LTE網路的路由器,Kim宣稱它充滿了各種安全漏洞,涵蓋後門帳號、預設的憑證、不安全的UPnP配置及韌體更新漏洞等,此外,由於DWR-932 B擁有168MB的記憶體與253MB空間,再加上還不錯的CPU,以及安裝了sshd、proxy及tcpdump等工具,成功的攻擊將讓駭客得以挾持與控制該路由器,進而針對所連結的各種裝置執行中間人攻擊、DNS污染,或是據此建立殭屍網路。

根據Kim所提供的時間軸,去年12月時他原本發現的是廣達(Quanta)路由器上的安全漏洞,在公開揭露後被告知D-Link DWR-932 B也有類似的漏洞,D-Link在今年6月中得知此事並承諾修補,但截至今年9月中D-Link仍說尚無韌體更新時程表,使得Kim在CERT.org的建議下公布了相關漏洞。

Kim認為,這些漏洞的出現也許是因為無能,或者是因為製造商蓄意破壞裝置的安全性,有鑑於相關漏洞會讓路由器成為駭客的攻擊媒介,且尚無修補程式,因此建議使用者直接棄用它們。

熱門新聞

Advertisement