您的位置:首页 > 互联网

美国网件 Netgear 79 款路由器惊现大量安全漏洞,设备可被劫持

发布时间:2020-07-13 15:13:45  来源:互联网     背景:

  美国网件 (NETGEAR)为全球商用企业用户和家庭个人用户提供创新的产品、优质的智能家庭无线解决方案。产品行销全球 20 余年,专注无线,坚守初心,推出无数时代先锋型的杰作,在欧美乃至亚太地区拥有令人瞩目的市场份额和消费者口碑。然而根据 7 月份安全漏洞调查显示,NETGEAR 多达 79 款路由器存在大量安全漏洞。

  以下是漏洞详情:

  httpd 服务漏洞

  该漏洞存在于 Netgear 路由器的 httpd 服务中,问题出在把用户输入的资料复制到仅能容纳固定长度的缓冲区前,未能正确验证资料长度,造成缓冲区溢出,而让黑客得以执行任意程序,从而接管设备。

  早在今年 1 月 , 安全研究人员发现有 79 款的 Netgear 路由器都含有同一个允许黑客执行任意程序的安全漏洞并上报给 Netgear。然而,更令人惊讶的是 Netgear 截至 6 月 15 日才发布安全更新,修复此问题。具体受影响的设备和固件,可参见 github 网址:https://github.com/grimm-co/NotQuite0DayFriday/blob/master/2020.06.15-netgear/exploit.py除了官方安全更新,用户也可通过防火墙或白名单功能,规定只有受信赖的设备才能访问 httpd 服务来缓解

  超危漏洞 PSV-2019-0076

  该漏洞影响运行 1.0.2.68 之前版本固件的旗舰路由器 Netgear Wireless AC Router Nighthawk(R7800),未经身份认证的攻击者可利用该漏洞控制路由器。

  事实上,该漏洞自 2016 年就已存在,直到现在,Netgear 没有提供关于该漏洞的更多详情,只是敦促消费者尽快访问其在线支持页面下载漏洞补丁。

  此外,Netgear R7800 作为 Netgear 2016 年年初发布的一款四天线年度超高性能旗舰级路由器,年度品牌热销榜第 7 名。需要注意的是,运行过时的固件,Netgear R7800 也不再安全,强烈建议尽快更新固件,来增强安全性。

  高危命令注入漏洞 PSV-2018-0352

  PSV-2018-0352 漏洞影响运行 1.0.2.60 之前版本固件的 Nighthawk(R7800)旗舰路由器,以及 Netgear D6000,R6000,R7000,R8000,R9000 和 XR500 系列的 29 款路由器中。

  高危命令注入漏洞 PSV-2019-0051

  该漏洞主要影响运行过时固件 R6400,R6700,R6900 和 R7900 系列的 5 款路由器,升级最新固件可修复。

  管理凭据漏洞 CVE-2017-18844

  NETGEAR R6700v2 1.1.0.38 之前版本、R6800 1.1.0.38 之前版本和 D7000 1.0.1.50 之前版本中存在安全漏洞。攻击者可利用该漏洞获取管理凭证。

  不容忽视的型号是 Netgear R6800,其固件中嵌入了多达 13 个硬编码的私有安全密钥。私钥是管理 Internet 安全性机制的关键部分,路由器将使用私钥来发起安全传输并验证固件更新。但是如果可以在路由器的固件中找到密钥,这意味着任何攻击者都可以冒充该设备并进行间接攻击 , 这些密钥与相同型号的所有设备共享,在固件中发布的一个私钥会使成千上万的设备处于危险之中。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://kb.netgear.com/000049015/Security-Advisory-for-an-Admin-Credential-Disclosure-on-Some-Routers-PSV-2017-2149

      TLS 证书泄露漏洞 PSV-2020-0105

  该漏洞导致路由器上的 TLS 证书私钥被暴露给公众。这些私钥可用于拦截和篡改安全连接(间接攻击),从本质上讲,任何受感染的路由器都可以被劫持。此外,这些密钥可以从 Netgear 的支持网站上下载,竟然无需任何身份验证措施即可下载。

  受影响的型号包括 R8900,R9000,RAX120 和 XR700 无线路由器。NETGEAR 已发布针对受影响产品型号的固件修补程序,同时强烈建议尽快下载最新固件修补程序来保证安全。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
第五届浙江大学校友创业大赛总决赛即将开启
浙大创新创业力量齐聚 年度盛典重磅来袭 第五届浙江大学校友创业大赛总决赛即将开启...
日期:12-03
成都网科巨力时代:黄金铁三角助力弄潮互联网大数据时代
互联网时代的到来给不少企业在新时代的发展方向带来了翻天覆地的变化,想要顺应时代的要求,在大数......
日期:03-27
数字鸿沟:20亿部旧手机无法使用美版健康码
最近,苹果和谷歌正在联手开发新冠病毒“接触者追踪”系统,并最快下月发布。该系统可追......
日期:04-20
走进WAIC 2019 极链开发者日 | 感受“视界”与“未来”
「2019世界人工智能大会」将于8月29日-31日在上海召开。大会将围绕“智联世界 无限可能”......
日期:08-28
中国品牌日:讯飞智能学习机荣获“国货新品”
5月10日,云上2020年中国品牌日活动拉开帷幕,中国电子信息联合会发布了《2020年中国品牌日电子信息......
日期:05-12
微信Windows PC电脑版v2.7.1更新下载:新增打开小程序功能
10月21日消息 近日微信2.7.1 for Windows迎来更新,新增了打开聊天中的小程序消息功能,另外还新增......
日期:10-21
腾讯医疗人工智能研究院院长范伟:超越认知,AI重塑运动评估
“这是一个电影片段,大家有谁看出演员的步态有问题?“在5月22日于昆明举行的腾讯全球数......
日期:05-24
长沙市民将坐上百度无人车,李彦宏无人驾驶汽车预言将成真!
无人驾驶,对于大多数普通市民来说,似乎只存在于网络新闻里。现在它真的来啦!...
日期:09-25
2019年电商行业三大关键词:场景、下沉、直播带货
2019年已接近尾声,中国零售、电商行业发生巨变。 阿里、京东、苏宁、拼多多等巨头竞争愈发激烈。从线上打到线下,从海外...
日期:12-10
番茄小说总编辑谢思鹏:平台和作者的互相信任,需要信息对称和数据透明
对中国网文行业而言,2020年注定是不平静的一年。 2019年,网文的"免费模式"正式崛起,冲击着原本较为稳固的付费市场。免...
日期:06-10
继格力之后又一家电巨头推出亿万补贴
昨日,创维电视官方微博发布《关于启动元春亿万健康补贴的公告》,继格力之后宣布加入这场家电补贴......
日期:12-12
首届中文NL2SQL挑战赛启动,NLP打破数据库壁垒
随着人工智能蓬勃发展,NLP等AI认知技术,也开始取得了积极进展,创新技术和应用不断突破,其中NLP......
日期:06-12
拼多多市值暴增300亿
(原标题:拼多多Q2营收高于预期,股价暴涨16%,市值暴涨300亿)...
日期:08-22
光通信与5G不断结合 打造端到端网络
目前5G已成业界热议话题,而光通信虽然看起来没有像5G那样风头正盛,但是光通信技术作为5G的重要支......
日期:09-27
应众需求的北通宙斯与微软XBOX拆解对比 精英手柄都有哪些标配
最近好像只要是个电子产品都流行花式拆机,我们也直蹦主题,今天给大家展示的是北通宙斯与微软XBOX......
日期:04-08
苹果发布App“一年之最”:最受欢迎的外卖、滤镜、电视剧
12月31日消息 12月30日,苹果App Store发布了《App里的一年之最》,分别从旅行、社交、摄影等方面,......
日期:12-31
双黄连上百度热搜:媒体提示效果待验证
1月31日深夜,双黄连口服液抑制新型冠状病毒的消息在各个传播渠道传开,不少民众展开了深夜抢购,电......
日期:02-01
高速公路告别“重名”现象,高德百度等协同更新数据
10月24日消息 据新京报报道,今天上午交通运输部召开例行新闻发布会,交通运输部公路局副局长周荣峰......
日期:10-24
微软获五角大楼100亿美元合同
10月26日消息 五角大楼周五表示,在美国国防部对公共云资源的竞标中,微软击败了市场领先者亚马逊从......
日期:10-26
强网杯:奇安信吴云坤谈网络安全实战化
第三届“强网杯”系列活动于6月15日至16日在郑州举行,奇安信集团总裁吴云坤在“强......
日期:06-15