华硕RT-N和RT-AC系列路由器的用户,因为他们解决的漏洞,可能允许攻击者劫持路由器的设置应该安装发布了他们的模型最新的固件更新。
该漏洞是由安全研究人员咨询服装Nightwatch网络安全发现,并留下许多华硕路由器受到跨站请求伪造(CSRF)攻击模式。
CSRF是一种攻击技术,涉及访问特制网站时,劫持用户的浏览器,并迫使其未经授权的请求发送到不同的网站 - 或在这种情况下,路由器的基于Web的管理界面通过局域网访问(LAN)。
据“夜视”的研究人员说,华硕大多数运行统一AsusWRT固件的路由器的网络界面登录页面没有任何类型的CSRF保护。这使得恶意网站可以在用户不知情的情况下,通过用户的浏览器向华硕路由器发送登录请求。
为了拉过这样的攻击,黑客需要知道目标路由器的LAN IP地址,并为它的管理员帐户的密码。在许多情况下,这些信息很容易获得。
有办法的网页扫描访问者的本地网络中的设备。甚至有一个开源的JavaScript框架调用Sonar.js一个包含不同路由器的“指纹”。
然而,这种先进的技术在大多数情况下甚至不需要,因为用户很少改变他们的路由器的默认IP地址——华硕路由器的默认IP地址是192.168.1.1。
许多用户也不会改变自己的路由器的默认和公开记录的用户名和密码组合 - 管理员/管理员华硕路由器。有些用户不更改这些凭据,因为他们不知道怎么回事,而其他人不这样做出来的方便和基于错误观念,认为他们的路由器不能被攻击,因为它的Web界面不暴露于互联网。
不幸的是,这种想法没有考虑到CSRF和其他基于lan的攻击。大规模的CSRF攻击劫持了路由器的设置已经观察在过去的几年里,安全厂商发现了计算机和移动恶意软件程序,它们被设计用来攻击局域网中的路由器。
一旦通过CSRF路由器上认证,攻击者也没问题更改设置,夜巡研究人员说,咨询本星期。那是因为保存所有配置修改的页面也缺乏CSRF保护,他们说。
针对路由器常见的攻击方式是改变自己的DNS(域名系统)服务器的设置,迫使他们使用由攻击者控制的DNS服务器。由于使用DNS域名转换为IP地址,攻击者可以利用自己在DNS响应谁通过妥协的路由器连接到假冒网页直接用户控制。
这使得强大的钓鱼攻击成为可能,因为浏览器地址栏将继续显示用户试图访问的合法网站的正确域名,但加载的页面将由攻击者提供。
除了CSRF问题,Nightwatch网络安全还发现,可以从远程网站或同一个局域网上的移动应用程序被用来揭露了一个路由器的配置,包括它的无线网络密码信息三个信息泄露漏洞。
华硕没有考虑到所有的这些问题,安全漏洞。公司发布固件更新修复CSRF问题和一些信息泄漏的许多在三月和四月受影响的车型。不过,也有用户报告说,至少一个模型中,4G-AC55U,也是脆弱的,没有补丁。
与路由器常见的问题是,即使在固件更新可用时,很少有用户去下载和在其设备上安装它们的麻烦。固件更新过程是不完全直白在路由器上,但供应商往往并不清楚了解这些更新包含为什么会需要他们。
例如,华硕新款路由器固件更新的发布说明中提到:CVE-2017-5891、CVE-2017-5892、CVE-2017-6547、CVE-2017-6549、CVE-2017-6548的安全问题已经得到解决。
要了解这些漏洞有关,用户将不得不寻找自己的互联网,即使是这样,他们可能会发现没有任何有用的信息。例如,如果用户将搜索了CVE-2017-5891和CVE-2017-5892在三月或四月,他们没有发现任何细节。如果他们现在搜索时,他们很可能会遇到周二公布的第三方Nightwatch网络安全顾问。
由于有关这些漏洞的详细信息,现在是公开的,华硕路由器业主应为他们的模型安装固件更新尽快。也有可以采取的其他行动以减少在一般被泄露的可能性路由器。