漏洞可能允许黑客通过跨站请求仿真攻击修改路由器设置
AsusRT-N和RT-AC序列路由器用户应安装为模型发布的最新固件更新,因为它们解决漏洞问题,使攻击者能够劫持路由器设置
漏洞由安全咨询组NightWatch网络安全研究发现 并留下许多Asss路由器模型接触跨站请求仿真攻击
CSRF是一种攻击技术,它涉及在访问用户浏览器时劫持专门设计网站并强迫它向不同网站发送未经授权请求-或在这种情况下路由器网络管理接口可访问局域网
Asus路由器网络接口登录页运行公司AsusWRT统一固件并没有任何类型CSRF保护允许恶意网站通过用户浏览器向Asss路由器发送登录请求
黑客需要知道目标路由器的局域网IP地址 和密码在许多情况下,这种信息很容易获取
有方法网页扫描访问者本地网络设备连开源JavaScript框架都称为Sonar.js,内含不同路由器的“指印”。
然而,在大多数情况下甚至不需要这种先进技术,因为用户很少改变路由器默认IP地址-Asus路由器为192.81.1
多用户不改变路由器默认并公开记录用户名和密码组合-Asus路由器管理员/管理员有些用户不修改证书, 因为他们不知道如何操作, 另一些用户则不出于方便并基于假信路由器无法攻击,
不幸的是,这种思维不计CSRF和其他局域网攻击大规模CSRF运动劫持路由器设置已观察到过去几年里野生安全商最近发现计算机和移动恶意程序 设计程序折合路由器局域网
路由器经CSRF认证后 攻击者没有问题改变环境 守夜者研究者说咨询本周这是因为保存配置修改的页面 也缺少CSRF保护
路由器常用攻击方式是改变他们的dNS服务器设置,迫使他们使用攻击者控制dNS服务器s使用域名转换IP地址,攻击者可使用对dNS响应的控制直接用户通过失密路由器连接假网页
允许强网格攻击,因为浏览器地址栏继续显示用户试图访问的合法网站正确域名,但加载页面由攻击者提供
除CSRF问题外,守夜网络安全还发现三种信息泄漏漏洞,可从远程网站或移动应用中利用,在同一局域网上披露路由器配置细节,包括其无线网络密码
Asus不认为所有这些问题安全漏洞公司发布固件更新修复CSRF问题 和部分信息泄漏 许多受影响的模型3月和4月用户报告至少一种模型4G-AC55U也脆弱无补
路由器常见问题在于,即使提供固件更新服务,很少用户会去下载并安装到设备上。固件更新过程不完全直截路由器上,但商家往往不清楚这些更新内容或为何需要更新
举例说,新Ass路由器更新发布注释表示,以下安全问题已经固定化:CVE2017-5891、CVE2017-5892、CVE2017-6547、CVE2017-6549和CVE2017-6548
用户必须自己搜索互联网, 即便如此, 用户可能找不到有用的资讯,举例说,如果用户3月或4月搜索CVE-2017-5891和CVE-2017-5892,则找不到细节网络安全第三方咨询周二发布
由于这些漏洞的细节现已公开提供,Asss路由器所有者应尽快安装固件更新模型临Τ可采取的其他动作降低路由器总体失密的可能性
