在过去两周的公开信息泄露之后,美国网件公司为已经被公开利用的路由器漏洞发布了新固件。研究人员发现多达10000台路由器已经被接管,据瑞士罗盘安全有限公司的调查,这些数据来自一个参与攻击受害者的指挥和控制服务器。
参与最初的对美国网件公司私人信息泄露调查的研究人员说,在美国网件公司被告知90天的最后期限将在本月到期之后,在9月3日,网络设备制造商与他们共享了一个测试版固件,但没有透露将在何时发布固件补丁。
然而在9月29日, Shellshock实验室的研究人员透露了一些细节,这促使罗盘公司在上周做了同样的事情。
更新的固件昨晚已被发布,受影响的版本有JNR1010v2 WNR2000v5,JWNR2010v5,WNR614,WNR618,WNR1000v4 WNR2020,WNR2020v2。
在过去的18个月里,路由器的漏洞和被接管已经演变成一场安全瘟疫,许多关键bug几乎影响到所有的制造商和产品。例如,一些厂商已经添加了过多的功能到他们的设备里,这在很大程度上是不安全的,只能得到薄弱或不存在默认凭证,或者劣质加密的保护。
企业和家庭用户面对的风险是, 控制了路由器的攻击者可以通过更改DNS配置重定向传入和传出的流量,或者处在一个中间人的位置,监视本应受保护的流量。
卡巴斯基实验室的研究人员透露,所谓的嫁接攻击一直是一个严重的威胁,尤其是在巴西, 在一个复杂的窃取银行凭证的计划中,他们就曾使用嫁接作为的其中的一个阶段。
与美国网件公司遭受攻击相关的信息由瑞士国家GovCERT报道出来,他们告诉咨询公司,应该开始采取行动来获得指挥权,并且使控制服务器离线。指南针公司的首席技术官亚历山大·赫尔佐格说,大多数的受害者都在美国。
7月,指南针公司的丹尼尔·哈克发现并秘密地公开了漏洞, 9月下旬, Shellshock实验室的研究人员还发现并公开披露了一些缺陷。
这个漏洞可以利用远程绕过认证,并使美国网件公司路由器固件N300_1.1.0.31_1.0.1。img和N300-1.1.0.28_1.0.1.img受到影响。缺陷允许攻击者在不知道路由器密码的情况下访问管理界面。
赫尔佐格说:“攻击的唯一前提是攻击者可以到达web管理界面, 在内部网络默认情况下,这是可以实现的。启用远程管理时(不是默认情况下),这种攻击只需要连接到互联网就可以利用缺陷。拥有路由器物理访问权限的攻击者就可以破坏它。