建议使用Verizon FiOS Quantum Gateway作为其家用路由器的客户更新到最新固件版本02.02.00.13 。它修复了Tenable Research研究员Chris Lyne发现的多个漏洞问题。
美国运营商Verzion(图片来源:infosecurity-magazine)
根据近期发布的一份咨询报告显示,安全研究人员在管理员密码中发现了一个新的漏洞(CVE-2019-3914),不需要用户输入登录的密码。Lyne发现该漏洞允许攻击者验证远程命令注入。他还发现了其他漏洞,包括登录重播(CVE-2019-3915)和密码披露(CVE-2019-3916)。
Lyne提出了几种不同的场景,其中恶意行为者可以篡改设备的安全设置,但在CVE-2019-3914中,攻击者“必须通过设备的管理Web应用程序进行身份验证才能执行命令注入。在大多数情况下,只有具有本地网络访问权限的攻击者才能利用此漏洞。但是,如果启用远程管理,则基于Internet的攻击是可行的。“
虽然第一个漏洞要求对攻击者进行身份验证,但在登录重放漏洞中,Web管理界面不会强制执行HTTPS。因此,“本地网段上的攻击者可以使用数据包嗅探器拦截登录请求。可以重播这些请求以使攻击者管理员访问Web界面。从这里开始,攻击者可以利用CVE-2019-3914。“
编辑观点:
路由器是当今每个智能家居的中心枢纽。他们让我们连接到互联网的角落,保护我们的房屋,甚至远程解锁门。然而,它们也是现代家庭的隐私和数据,黑客一旦控制了用户的路由器,用户的一切隐私将会完全暴露。
- 调查区域:企业小调查(点击预览可查看效果)
本文属于原创文章,如若转载,请注明来源:Verizon修复家庭路由器的错误问题//safe.zol.com.cn/713/7139018.html
