黑客破解漏洞取得D-Link路由器操控權

2020-12-22 電子發燒友

黑客破解漏洞取得D-Link路由器操控權

胡薇 發表於 2018-10-20 11:02:36

研究員發現,部分D-Link路由器存在多個漏洞,黑客利用這些漏洞可獲得其全部控制權,且目前尚無安全補丁發布。在Linksys路由器中也出現了嚴重安全漏洞。

波蘭西裡西亞工業大學( The SilesianUniversity of Technology)某研究小組發現了在D-Link路由器中存在的安全漏洞。這些漏洞影響多個系列D-Link路由器httpd 伺服器,包括DWR-116, DWR-111,DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912及 DWR-921。

編號為CVE-2018-10822的目錄遍歷問題是其中的一個漏洞,允許黑客利用簡單的HTTP請求遠程讀取任意文件。D-Link供應商早已得知漏洞CVE-2017-6190的存在,但在其許多產品中該漏洞並未得到修復。

黑客可利用該漏洞入侵文件,竊取其中儲存的明文密碼。明文儲存密碼是第二個漏洞,編號為CVE-2018-10824。

鑑於該安全漏洞風險較大,易遭人利用,研究人員尚未透露儲存管理員密碼文件的具體位置。

一旦通過身份驗證,黑客可利用編號為CVE-2018-10823的第三個漏洞,執行任意指令來完全掌控該設備。

D-Link早在五月就被告知存在這些漏洞,其承諾將為設備DWR-116 及 DWR-111發布安全補丁,並在產品維護期限結束時顯示安全警告。然而迄今為止,其並未發布任何補丁,研究人員決定將其研究結果公之於眾。

同時,確保路由器不能通過網際網路訪問可緩解安全漏洞風險。

Linksys E-Series路由器安全漏洞

研究員在Linksys E-Series 路由器中發現多個安全漏洞。多個作業系統命令注入漏洞將使設備易遭黑客入侵,並在其上安裝惡意軟體。

與D-Link產品漏洞不同,只有通過身份驗證的黑客才能利用Talos漏洞,且其供應商已發布安全補丁。

打開APP閱讀更多精彩內容

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容圖片侵權或者其他問題,請聯繫本站作侵刪。 侵權投訴

相關焦點

  • 路由器現新漏洞:黑客遠程劫持網絡連接
    近日,安全專家發現Inteno家用路由器中,可能存在一個安全漏洞。該漏洞會導致黑客可以遠程對家中的路由器遠程劫持和監控,並且將路由器的固件改造成黑客自製的版本,從而完全接管家中聯網的設備。一旦這個漏洞被利用,用戶通過自己家中的設備上網,將會跳轉到黑客設置好的釣魚網站,自己的個人隱私、社交網絡帳號和網銀信息等都有被竊取的風險。
  • D-Link家用路由器被曝大量嚴重漏洞
    騰訊科技訊 據外媒報導,信息安全研究員皮埃爾·金(Pierre Kim)近期公開了D-Link(友訊)DIR 850L消費級無線路由器的10個嚴重漏洞。由於此前與D-Link溝通不暢,他此次沒有提前告知該公司漏洞的存在。  皮埃爾·金曾於今年2月告知D-Link 9個漏洞,但D-Link隨後只修復了其中一個漏洞。  此次公開的零日漏洞涉及多方面問題,例如缺乏對固件鏡像的適當保護機制,意味著黑客可以向目標設備註入包含後門的惡意拷貝,以及D-Link私有的mydlink雲協議中的漏洞。
  • 家用路由器WiFi設置如果存在這些漏洞,黑客分分鐘轉走你的錢
    網絡時代,每家每戶家裡都有個用來上網的路由器,路由器和WiFi的出現給我們帶來了很多的便利,但在帶來便利的同時,也帶來了潛在的安全隱患,國內家用路由器其實存在重大安全隱患。報導稱,多家廠商的路由器產品存在「後門」漏洞,目前我國5%的路由器就已經被黑客成功地控制,因為路由器被黑而中招的網民,保守估計也達到了2000餘萬人。
  • D-Link 850L&645路由漏洞分析
    2.2.2 漏洞驗證首先通過上傳構造好的XML文件,讀取存放用戶信息的 DEVICE.ACCOUNT.xml.php 文件:1curl -d '<?xml version="1.0" encoding="utf-8"?
  • 探訪神秘黑客群體 黑客:找漏洞破解是樂於助人
    中國政府已制定相關法律規定,明確禁止和打擊黑客攻擊活動。晨報記者近日採訪了多名中國黑客,他們都堅守著自己的黑客守則:破解是為了幫助他人,找漏洞是為了維護信息不被洩漏,絕不會越過法律的底線去進行破壞與攻擊。 一名接受採訪的黑客認為,"那些進行攻擊破壞的人應該被稱為''駭客'',駭客們只知道破壞,真正的黑客則進行建設!"
  • 小米電動滑板車爆漏洞,黑客可以遠程控制加速和鎖車!
    電動滑板車在美國蔚為風潮,資安公司Zimperium近期發布一份研究報告,透露小米電動滑板車的藍牙裝置存在漏洞,黑客可以用手機替路上的滑板車加油門、踩煞車,引發安全隱患。黑客能隨機針對路上的M365電動滑板車進行攻擊目前,小米方表示,「這個漏洞是內部已知問題,並且已經公諸於眾,但由於這(M365)是與第三方合作的產品,我們也正努力找出解決方法。」
  • D-Link/華碩/網件路由器用戶遭殃:存在安全大漏洞
    四年前的漏洞,現在才被公開,且危害力還這麼大....DefenseCode的安全人員,早在2013年的時候就發現了一個路由器的大漏洞,Cisco Linksys路由器默認安裝下存在一個遠程root訪問漏洞,不過隨後發現,這個漏來實際上存在於Broadcom的UPnP中。
  • 網友曝光路由器安全漏洞 5分鐘控制用戶微博
    破解軟體和密碼字典可免費下載  昨日,記者聯繫到「Evi1m0」,他表示自己發該帖,主要是提醒網友關注路由器安全問題。  「Evi1m0」透露,破解路由器的成本低廉,破解軟體和密碼字典都可從網上免費下載,所以希望網友使用路由器時,儘量設置複雜的密碼,「同時採用大小寫、數字和標點符號的密碼很難被破解。」
  • 「補天杯」破解大賽火熱進行 白帽黑客60秒內攻破多款物聯網設備
    中新網11月28日電 11月27日,湖湘杯網絡安全技能大賽系列活動之「補天杯」破解大賽在湖南省長沙市火熱進行。來自全國各地的企業、高校、民間的極客、白帽黑客、專家共同參與,以比賽競技和現場表演秀的方式發現物聯網智能設備存在的安全問題。多款智能路由器、智能攝像頭、智能門鎖、共享電動車等智能設備,均被挑戰選手在60秒內完成破解。
  • iPhone 8首遭破解,銀行卡密碼洩露,這場燃爆的黑客大會還有什麼
    評委善意地提醒他,最好是給自家門加兩道鎖,一道電子門鎖,一道是鐵鎖,傳統的賊破解不了電子門鎖,破解電子門鎖的黑客也打不開鐵鎖,可以說很良心了。雖然兩個小哥哥沒有挑戰成功,但是漏洞依然存在,畢竟現實中的網絡黑客不會只嘗試20分鐘攻破POS機。
  • 知名路由器公司Netgear 79款路由器驚現大量安全漏洞,設備可被劫持!
    然而根據7月份安全漏洞調查顯示,NETGEAR多達79款路由器存在大量安全漏洞。以下是漏洞詳情:httpd服務漏洞該漏洞存在於Netgear路由器的httpd服務中,問題出在把用戶輸入的資料複製到僅能容納固定長度的緩衝區前,未能正確驗證資料長度,造成緩衝區溢出,而讓黑客得以執行任意程序,從而接管設備。
  • 360「WiFi體檢」防禦路由器DNS被篡改
    原標題:360「WiFi體檢」防禦路由器DNS被篡改  中國電信網發布公告稱,10月15日起針對路由器DNS遭黑客惡意篡改的中國電信寬帶用戶提供主動提醒和自助修復工作。而早在今年6月份,360安全衛士就推出了針對路由器安全檢測的產品——「WiFi體檢」,專門排查路由器安全隱患,有效防止黑客入侵和劫持。
  • 27屆DEFCON黑客大會:4G熱點設備頻曝零日漏洞
    搞滲透測試的網絡安全廠商Pen Test Partners在上周舉行的DEFCON黑客大會上,披露了多個品牌的4G移動熱點設備的安全漏洞,同時指責這些設備製造商未來都會生產5G設備,但他們卻並不注重這些設備的安全性。
  • 兒童智能定位手環存漏洞 黑客可破解控制設備
    黑客完全可以破解 不過,白帽黑客團隊Keen Team負責人也說,它們有一個共同弊端,就是一旦設備離身,就無法發生作用。而且,並不是所有的兒童失蹤事件都是因為被壞人拐走,安全防護也不能只靠一個智能手環。
  • 創客第7期:kisslink如何回歸路由器本質?
    第7期採訪的嘉賓是kisslink團隊的CEO張兆龍,kisslink是一個專注路由器研發的團隊。kisslink吻路由是在2014年10月28日正式對外發布的無線路由器品牌,其美國品牌為keewifi,以零配置和免密碼為其主要特色。
  • 怎樣防範黑客攻擊家庭路由器
    還記得以前我們曾經看過的一部叫做黑客帝國的電影嗎?或許有人認為黑客離我們很遙遠,其實不然。黑客無處不在,就在我們的身邊。近期有黑客利用家庭寬帶路由器默認口令密碼漏洞,將路由器DHCP伺服器推送的 DNS 地址篡改為 66.102.*.* 或 207.254.*.*。當我們訪問一些特定網站時,就有可能被轉到惡意仿冒網頁,造成信息洩露。
  • TP-LINK成隱私洩露最大渠道 70%用戶或受害
    據一位資深黑客介紹,TP-LINK路由器的後門漏洞危險程度遠遠大於目前披露的程度。他解釋,在攻擊漏洞的TP-LINK路由器時,並非一定要在本地連接路由器,而是可以通過遠程進入TP-LINK路由器,從而監控網友的所有上網行為,並且能夠竊取本地信息。
  • Defcon黑客大會披露華為路由器存在嚴重安全漏洞
    上周日,有安全人員在Defcon展現了如何輕鬆地進入計算機網絡,這些網絡的路由器是由中國電子巨頭華為公司製造。
  • [圖]Linksys旗下25款路由器被爆存在安全漏洞
    近日IOActive調查發現,Linksys旗下的25款路由器存在非常嚴重的安全隱患, 能夠讓第三方重啟、鎖定以及監聽敏感數據。
  • 黑客揪出蘋果iOS重大漏洞
    黑客揪出蘋果iOS重大漏洞 王昱 發表於 2020-12-04 13:33:44 來自谷歌信息安全團隊Project Zero的研究人員伊恩·比爾(Ian Beer