这些漏洞可能允许黑客通过跨站点请求伪造攻击来修改路由器的设置
华硕 RT-N 和 RT-AC 系列路由器的用户应安装为其型号发布的最新固件更新,因为它们解决了可能允许攻击者劫持路由器设置的漏洞。
这些缺陷是由安全咨询机构 Nightwatch Cybersecurity 的研究人员发现的,导致许多华硕路由器型号面临跨站点请求伪造 (CSRF) 攻击。
CSRF 是一种攻击技术,涉及在访问特制网站时劫持用户的浏览器,并迫使其向其他网站发送未经授权的请求,或者在本例中是通过局域网 (LAN) 可访问的路由器基于 Web 的管理界面。
Nightwatch 研究人员表示,大多数运行该公司统一 AsusWRT 固件的华硕路由器的 Web 界面登录页面没有任何类型的 CSRF 保护。这使得恶意网站可以在用户不知情的情况下通过浏览器向华硕路由器发送登录请求。
为了实施此类攻击,黑客需要知道目标路由器的 LAN IP 地址及其管理员帐户的密码。在许多情况下,这些信息很容易获得。
网页可以通过多种方式扫描访问者的本地网络中的设备。甚至还有一个名为 Sonar.js 的开源 JavaScript 框架,其中包含不同路由器的“指纹”。
然而,在大多数情况下甚至不需要这种先进的技术,因为用户很少更改路由器的默认 IP 地址 - 对于华硕路由器来说是 192.168.1.1。
许多用户也不会更改路由器的默认和公开记录的用户名和密码组合 - 华硕路由器的 admin/admin。一些用户不会更改这些凭据,因为他们不知道如何更改,而其他用户则不会这样做是出于方便,并且错误地认为他们的路由器不会受到攻击,因为其 Web 界面未暴露在互联网上。
不幸的是,这种想法没有考虑到 CSRF 和其他基于 LAN 的攻击。过去几年中,人们观察到劫持路由器设置的大规模 CSRF 活动,安全供应商最近发现了旨在危害局域网路由器的计算机和移动恶意软件程序。
Nightwatch 研究人员表示,一旦通过 CSRF 在路由器上进行身份验证,攻击者就可以轻松更改设置。咨询本星期。他们说,这是因为保存任何配置修改的页面也缺乏 CSRF 保护。
针对路由器的常见攻击是更改其 DNS(域名系统)服务器设置,迫使它们使用由攻击者控制的 DNS 服务器。由于 DNS 用于将域名转换为 IP 地址,因此攻击者可以利用对 DNS 响应的控制来引导通过受感染路由器连接的用户访问虚假网页。
这使得强大的网络钓鱼攻击成为可能,因为浏览器地址栏将继续显示用户尝试访问的合法网站的正确域名,但加载的页面将由攻击者提供。
除了 CSRF 问题之外,Nightwatch Cybersecurity 还发现了三个信息泄露漏洞,同一 LAN 上的远程网站或移动应用程序可以利用这些漏洞来泄露路由器配置的详细信息,包括其无线网络密码。
华硕并不将所有这些问题视为安全漏洞。公司发布的固件更新修复了 3 月和 4 月许多受影响模型的 CSRF 问题和一些信息泄露问题。不过,有用户报告称,至少有一款型号4G-AC55U也存在漏洞,并且没有补丁。
路由器的一个常见问题是,即使有固件更新可用,也很少有用户会费心下载并将其安装到自己的设备上。路由器上的固件更新过程并不完全简单,但供应商通常不清楚这些更新包含什么内容或为什么需要它们。
例如,新的华硕路由器固件更新的发行说明提到已修复以下安全问题:CVE-2017-5891、CVE-2017-5892、CVE-2017-6547、CVE-2017-6549 和 CVE-2017-6548。
要了解这些漏洞的含义,用户必须自己搜索互联网,即使这样,他们也可能找不到有用的信息。例如,如果用户在 3 月或 4 月搜索 CVE-2017-5891 和 CVE-2017-5892,他们将找不到任何详细信息。如果他们现在进行搜索,他们可能会发现周二发布的第三方守夜人网络安全咨询。
由于有关这些漏洞的详细信息现已公开,华硕路由器所有者应尽快为其型号安装固件更新。还有其他可以采取的行动总体上减少路由器受到损害的可能性。