更多全球網絡安全資訊盡在E安全官網www.easyaq.com
小編來報:研究員發現,部分D-Link路由器存在多個漏洞,黑客利用這些漏洞可獲得其全部控制權,且目前尚無安全補丁發佈。在Linksys路由器中也出現了嚴重安全漏洞。
波蘭西里西亞工業大學( The SilesianUniversity of Technology)某研究小組發現了在D-Link路由器中存在的安全漏洞。這些漏洞影響多個系列D-Link路由器httpd 服務器,包括DWR-116, DWR-111,DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912及 DWR-921。
編號為CVE-2018-10822的目錄遍歷問題是其中的一個漏洞,允許黑客利用簡單的HTTP請求遠程讀取任意文件。D-Link供應商早已得知漏洞CVE-2017-6190的存在,但在其許多產品中該漏洞並未得到修復。
黑客可利用該漏洞入侵文件,竊取其中儲存的明文密碼。明文儲存密碼是第二個漏洞,編號為CVE-2018-10824。
鑑於該安全漏洞風險較大,易遭人利用,研究人員尚未透露儲存管理員密碼文件的具體位置。
一旦通過身份驗證,黑客可利用編號為CVE-2018-10823的第三個漏洞,執行任意指令來完全掌控該設備。
D-Link早在五月就被告知存在這些漏洞,其承諾將為設備DWR-116 及 DWR-111發佈安全補丁,並在產品維護期限結束時顯示安全警告。然而迄今為止,其並未發佈任何補丁,研究人員決定將其研究結果公之於眾。
同時,確保路由器不能通過互聯網訪問可緩解安全漏洞風險。
Linksys E-Series路由器安全漏洞
研究員在Linksys E-Series 路由器中發現多個安全漏洞。多個操作系統命令注入漏洞將使設備易遭黑客入侵,並在其上安裝惡意軟件。
與D-Link產品漏洞不同,只有通過身份驗證的黑客才能利用Talos漏洞,且其供應商已發佈安全補丁。
閱讀更多 E安全 的文章
