德國知名的弗勞恩霍夫通信協會(Fraunhofer Institute for Communication,FKIE)最新研究顯示,許多知名品牌的家用路由器使用古早而久未更新的Linux作業系統,包含已經公諸於世的漏洞、還把登錄密碼存在固件中,突顯家庭網絡安全堪憂。
這家研究機構分析了全球7個知名廠商,包括華碩、合勤、友訊(D-Link)、Linksys、TP-Link、AVM及Netgear出品的127款家用路由器產品,並以他們自行研發的固件分析工具來分析這些設備固件何時更新、用什麼作業系統、有多少已知重大漏洞、廠商用什麼方法緩解攻擊及多久激活一次、固件鏡像文件是否包含加密密鑰信息,以及是否有什麼寫死(hard-coded)的登錄帳密等等。而研究結果顯示,沒有一臺路由器是沒有漏洞的。
FKIE發現,在127臺受測產品中,有46臺過去一年都沒有發布安全更新。
90%以上的產品使用Linux,但是超過1/3使用的是2.6.36以前的版本,那至少是2011年2月以前的版本。AVM是唯一一家未曾使用Linux 2.6版以前的廠商,半數使用4.4版Linux Kernel。而Netgear、TP-Link有半數使用2.6.36版核心,合勤甚至有25%使用2.6.35版本核心。
老舊作業系統可能帶有許多安全漏洞,促使研究人員計算這些路由器固件鏡像文件中的已知Linux重大安全漏洞。這127臺設備平均有53個重大風險漏洞,即使表現最好的產品,也有至少21個重大風險或348個高度風險漏洞。高度風險最多的是Linksys WRT54GL,有579個,它使用的Linux核心是所有受測產品中最舊。而合勤的Zyxel NBG6816及Zyxel NBG6815,則並列最多重大風險漏洞的產品,漏洞數各有68個。
研究人員也查看家用路由器產品的固件,是否包含私有密鑰可能被黑客訪問。結果顯示,127臺設備中平均洩露的私鑰信息為5種,其中Netgear R6800總共公開了13種信息,為所有產品之冠。只有AVM的固件鏡像文件不會公開任何密鑰信息。
物聯網殭屍病毒Mirai利用寫死(hard-coded)的登錄憑證或密碼來入侵許多聯網設備,因而成為本研究的另一查看標的。華碩、合勤及友訊在內的6成產品固件鏡像文件中,都不包含寫死的登錄憑證和密碼,但仍有50臺包含寫死的憑證,其中16臺還使用廣為人知或極易破解的憑證。最不安全的是Netgear RAX40,使用password、amazon作為登錄密碼。華碩則是唯一在固件鏡像文件中,不存儲任何寫死憑證和密碼的廠商。
至於廠商使用了多少保護嵌入式設備的緩解技術,研究顯示AVM使用的防護最多,而友訊最少。整體而言,研究人員結論AVM最安全,華碩和Netgear在某些方面表現優於友訊、Linksys、TP-Link及合勤。
這份報告或許也反映近日的路由器安全事件。6月底安全廠商ZDI披露79款Netgear R6700系列路由器含有允許黑客執行任意程序的安全漏洞,Netgear在1月就接獲通報,但6個月後仍未完成修補。