研究顯示許多傢用路由器未打補釘輕易受破綻影響

據一份新的報揭發現,許多盛行的傢用路由器裝備受到數百個已知破綻的影響,超過三分之一的裝備在去年沒有收到更新。這項研究由德國弗勞恩霍夫通信研究所(FKIE)進行,觸及7個品牌的127個傢用路由器,它們來自於華碩電腦公司,Netgear公司,D-Link公司,Linksys,TP-Link技術有限公司,Zyxel Communications公司和AVM Computersysteme Vertriebs GmbH。它比較瞭每一個路由器的最新固件版本與已知的安全破綻,發現沒有一個是完滿無缺的。

127臺路由器中,有46臺在去年內沒有收到過一次安全更新,而22臺在過去兩年內沒有收到過任何更新。最嚴重的狀況下已經運轉瞭1969天,超過五年,沒有安全補釘。華碩、AVM和Netgear的產品在安全性方面首屈一指,他們的全部裝備都在過去一年半內進行瞭更新,但D-Link、Linksys、TP-Link和Zyxel的產品卻後進瞭。隻管約90%的路由器運用Linux, 許多創造商沒有更新操作系統, 大多半產品內核版本依然在2.6 (或更早), 這最後看到一個更新在2011年2月,這致使大量關鍵性和高嚴重性CVE影響這些裝備。

50臺路由器被發現有硬編碼的登錄憑據,默許的用戶名和暗碼嵌入到裝備中,同時有16臺路由器有盡人皆知的或輕易破解的憑據。華碩是僅有一傢沒有在其固件鏡像中存儲任何硬編碼憑據的公司。分析標明,沒有一個路由器是沒有缺點的,也沒有一個廠商在全部安全方面都做得很完滿,要想讓傢用路由器像當前的桌面或服務器系一致樣安全,還須要更多的盡力。

发表评论