近年来,随着无线终端的大量普及,无线路由器产品也不断推陈出新,其中能够为消费者带来便捷应用的智能路由器,更成为该产品线上的一类重要分支。不过,近期以智能路由器为噱头的必虎(bhu)智能路由器,却被曝出存在多个安全漏洞,甚至引发国外媒体的关注。
按照研究人员在ioactive上发布的安全公告显示,必虎智能路由器在用户的身份验证机制上存在漏洞,攻击者无需身份验证,即可访问存储在系统日志中的敏感数据。不仅如此,攻击者还能以root权限在路由器上执行系统级别的控制命令。
必虎智能路由器
此外,该路由器默认还启用了隐藏用户、ssh、硬编码root密码等功能,而且它还会向所有用户的http通信数据中注入第三方的javascript脚本文件。
例如,攻击者能够使用数值为700000000000000的硬编码会话id(sid)来获得管理员权限。即使他拼错sid或将数值降为零,同样也没问题,该路由器能够接受任何数值,仍然可授予用户管理员权限。
更糟糕的是,攻击者可以通过本地网络的特殊url来访问包含用户敏感数据的路由器系统日志。攻击者可以查看用户登录日志,并从那里获取到管理员的sid。事实上,研究人员发现的硬编码sid值,相当于一个隐藏的后门。
此外,研究人员发现,该路由器每次启动wan连接,就会打开ssh端口,这就意味着任何攻击者可以通过互联网访问的ssh控制台。
而且,该路由器还能将广告注入到网络流量里,因为该路由器的固件包含有内置版本的privoxy代理软件。所以,通过这个代理,该路由器可转移所有用户的web通信,并在url地址为http://chdadd.100msh.com/ad.js的每页末尾追加一个javascript文件。这为攻击者进行嗅探通信,重写固件,或改变用户的流量,注入广告或恶意软件提供了可能。
在此希望相关厂商可以快速修补漏洞,以确保用户的上网安全。
试用申请