一家安全公司说,臭名昭著的“管理员”用户ID和可黑客密码在大量家庭路由器上普遍存在。尽管公众对脆弱性和相关黑客的意识越来越多。
ESET的研究人员最近测试了12,000多个家用路由器,发现许多设备都是不安全的。在某些情况下,固件存在缺陷。
+也在网络世界上:有个足球雷竞技app“互联网打破了?”和其他Dyn DDOS问题的答案+
Eset说:“经过测试的路由器中约7%显示出高度或中等严重性的漏洞。”在其WeliveSurity社论网站上的文章中。“在大多数情况下,经过测试的路由器中有15%使用弱密码,'管理员'作为用户名。”
弱密码可以轻松利用。实际上,对路由器的模拟攻击中有14%是胜利的。探测攻击方法仅仅是使用常见的默认用户名和密码以及一些常用的组合。
Telnet在20%的路由器上被打开,并捕获了指挥注射漏洞。
ESET解释说,作为一项无抵押服务,Telnet甚至不应公开向本地网络公开使用。命令注射漏洞“目标是在主机操作系统上执行任意命令。”安全公司说,他们使用脆弱的应用程序。正确的输入验证可以解决缺陷。
在那7%的具有软件漏洞的现在常见的家庭设备中,大约一半(53%)具有“不良访问权利漏洞”或权限问题,换句话说。
命令注射漏洞占失败的39%。跨站点脚本(XSS)漏洞允许黑客更改路由器设置并运行伪造脚本,占8%。
文章说:“结果清楚地表明,路由器可以很容易地攻击。”
ESET还表示,端口扫描在其测试过程中表明,在许多情况下,可以从内部网络以及外部网络访问网络服务。
您的物联网设备易受伤害吗?
与上周互联网的部分崩溃,据报道是由家庭网络互联网(IoT)安全摄像机引起的,为DDOS攻击创建漏洞,我想起了我在2014年写的Shodan IoT开放端口搜索网站。
Shodan仍然活跃,是一款搜索引擎,可拖网在Internet上寻找与端口连接的设备。描绘了映射的连接的物联网设备的视觉表示,例如世界各地的开放式相机。
有趣的是,Reddit-user Fistagon7指出Shodan服务可用于查看Reddit成员是否参加上周,在上述,现为著名的IoT启动DDOS攻击中。
Fistagon7写道:“扫描您的物联网设备,以查看它们是否可能参加了昨天的DDOS。”
刷新的页面,称为物联网扫描仪由Bullguard提供支持的,允许用户检查网络上的设备是否可以从Internet公开访问。
可能表明漏洞的开放端口应该在扫描中显示。
如果找到开放端口,则物联网扫描仪将为纠正措施提供建议,其中包括修改路由器的配置。如果您没有故意打开端口,则可能包括限制对端口的访问。
结果页面说:“如果您故意打开此端口以启用特定的设备功能,那么您可能还可以。”