这些漏洞可能允许黑客通过跨站点请求伪造攻击来修改路由器的设置
Asus RT-N 和 RT-AC 系列路由器的用户应安装针对其型号发布的最新固件更新,因为它们解决了可能允许攻击者劫持路由器设置的漏洞。
这些漏洞是由安全咨询机构 Nightwatch Cybersecurity 的研究人员发现的,导致许多华硕路由器型号容易受到跨站点请求伪造 (CSRF) 攻击。
CSRF 是一种攻击技术,涉及在访问特制的网站时劫持用户的浏览器,并强迫其向其他网站发送未经授权的请求 - 或者在本例中,向可通过局域网(LAN)访问的路由器基于 Web 的管理界面发送未经授权的请求。
Nightwatch 研究人员表示,大多数运行该公司统一 AsusWRT 固件的华硕路由器的 Web 界面登录页面都没有任何类型的 CSRF 保护。这允许恶意网站在用户不知情的情况下通过用户的浏览器向华硕路由器发送登录请求。
为了实施此类攻击,黑客需要知道目标路由器的 LAN IP 地址及其管理员帐户的密码。在许多情况下,这些信息很容易获得。
网页可以通过多种方式扫描访问者的本地网络以查找设备。甚至有一个名为 Sonar.js 的开源 JavaScript 框架,其中包含不同路由器的“指纹”。
然而,大多数情况下甚至不需要这种先进的技术,因为用户很少更改路由器的默认 IP 地址(华硕路由器的默认 IP 地址为 192.168.1.1)。
许多用户也不会更改路由器的默认和公开记录的用户名和密码组合 — 华硕路由器的用户名和密码组合为 admin/admin。有些用户不会更改这些凭据,因为他们不知道如何更改,而另一些用户则出于方便而不这样做,因为他们错误地认为他们的路由器不会受到攻击,因为其 Web 界面未暴露在互联网上。
不幸的是,这种想法没有考虑到 CSRF 和其他基于 LAN 的攻击。过去几年,大规模的 CSRF 活动已经出现,这些活动劫持了路由器的设置,安全供应商最近还发现了旨在通过局域网危害路由器的计算机和移动恶意软件程序。
Nightwatch 研究人员表示,一旦通过 CSRF 在路由器上进行身份验证,攻击者就可以轻松更改设置一份咨询报告本周。他们说,这是因为保存任何配置修改的页面也缺乏 CSRF 保护。
针对路由器的常见攻击是更改其 DNS(域名系统)服务器设置,迫使其使用攻击者控制的 DNS 服务器。由于 DNS 用于将域名转换为 IP 地址,因此攻击者可以利用对 DNS 响应的控制,将通过受感染路由器连接的用户引导至虚假网页。
这使得强大的网络钓鱼攻击成为可能,因为浏览器地址栏将继续显示用户尝试访问的合法网站的正确域名,但加载的页面将由攻击者提供。
除了 CSRF 问题之外,Nightwatch Cybersecurity 还发现了三个信息泄露漏洞,这些漏洞可被同一 LAN 上的远程网站或移动应用程序利用,从而泄露有关路由器配置的详细信息,包括其无线网络密码。
华硕并不认为所有这些问题都是安全漏洞。该公司发布固件更新修复了 3 月和 4 月受影响机型的 CSRF 问题和部分信息泄露问题。但有用户报告称,至少有一款机型 4G-AC55U 也存在漏洞,且尚未发布补丁。
路由器的一个常见问题是,即使有固件更新可用,也很少有用户会费心下载并安装到设备上。固件更新过程并不完全简单在路由器上,但供应商通常不清楚这些更新包含什么或为什么需要它们。
例如,新华硕路由器固件更新的发布说明提到已修复以下安全问题:CVE-2017-5891、CVE-2017-5892、CVE-2017-6547、CVE-2017-6549 和 CVE-2017-6548。
要了解这些漏洞的真正含义,用户必须自行搜索互联网,但即便如此,他们也可能找不到任何有用的信息。例如,如果用户在 3 月或 4 月搜索 CVE-2017-5891 和 CVE-2017-5892,他们可能找不到任何详细信息。如果他们现在搜索,他们可能会遇到周二发布的第三方 Nightwatch 网络安全公告。
由于这些漏洞的详细信息现已公开,华硕路由器用户应尽快为自己的型号安装固件更新。可以采取的其他行动以降低路由器总体受到攻击的可能性。
