多款知名家用路由器使用老旧Linux核心,连带藏匿大量安全漏洞
文/林妍溱 | 2020-07-07发表
德国知名的弗劳恩霍夫通讯协会(Fraunhofer Institute for Communication,FKIE)最
新研究显示,许多知名品牌的家用路由器使用古早而久未更新的Linux作业系统,包含已
经公诸于世的漏洞、还把登入密码存在韧体中,突显家庭网络安全堪忧。
这家研究机构分析了全球7个知名厂商,包括华硕、合勤、友讯(D-Link)、Linksys、
TP-Link、AVM及Netgear出品的127款家用路由器产品,并以他们自行研发的韧体分析工具
来分析这些装置韧体何时更新、用什么作业系统、有多少已知重大漏洞、厂商用什么方法
缓解攻击及多久启用一次、韧体映像档是否包含加密金钥资讯,以及是否有什么写死(
hard-coded)的登入帐密等等。而研究结果显示,没有一台路由器是没有漏洞的。
FKIE发现,在127台受测产品中,有46台过去一年都没有发布安全更新。
90%以上的产品使用Linux,但是超过1/3使用的是2.6.36以前的版本,那至少是2011年2月
以前的版本。AVM是唯一一家未曾使用Linux 2.6版以前的厂商,半数使用4.4版Linux
Kernel。而Netgear、TP-Link有半数使用2.6.36版核心,合勤甚至有25%使用2.6.35版本
核心。
老旧作业系统可能带有许多安全漏洞,促使研究人员计算这些路由器韧体映像档中的已知
Linux重大安全漏洞。这127台装置平均有53个重大风险漏洞,即使表现最好的产品,也有
至少21个重大风险或348个高度风险漏洞。高度风险最多的是Linksys WRT54GL,有579个
,它使用的Linux核心是所有受测产品中最旧。而合勤的Zyxel NBG6816及Zyxel NBG6815
,则并列最多重大风险漏洞的产品,漏洞数各有68个。
研究人员也检视家用路由器产品的韧体,是否包含私有金钥可能被骇客存取。结果显示,
127台装置中平均泄露的私钥资讯为5种,其中Netgear R6800总共公开了13种资讯,为所
有产品之冠。只有AVM的韧体映像档不会公开任何金钥资讯。
物联网僵尸病毒Mirai利用写死(hard-coded)的登入凭证或密码来入侵许多连网装置,
因而成为本研究的另一检视标的。华硕、合勤及友讯在内的6成产品韧体映像档中,都不
包含写死的登入凭证和密码,但仍有50台包含写死的凭证,其中16台还使用广为人知或极
易破解的凭证。最不安全的是Netgear RAX40,使用password、amazon作为登入密码。华
硕则是唯一在韧体映像档中,不储存任何写死凭证和密码的厂商。
至于厂商使用了多少保护嵌入式装置的缓解技术,研究显示AVM使用的防护最多,而友讯
最少。整体而言,研究人员结论AVM最安全,华硕和Netgear在某些方面表现优于友讯、
Linksys、TP-Link及合勤。
这份报告或许也反映近日的路由器资安事件。6月底资安厂商ZDI揭露79款Netgear R6700
系列路由器含有允许骇客执行任意程式的安全漏洞,Netgear在1月就接获通报,但6个月
后仍未完成修补。
https://www.ithome.com.tw/news/138633
楼下说还好我都直接从中华电信拉专线过来