必虎智能路由器曝出存在多个安全漏洞
近年来,随着无线终端的大量普及,无线路由器产品也不断推陈出新,其中能够为消费者带来便捷应用的智能路由器,更成为该产品线上的一类重要分支。不过,近期以智能路由器为噱头的必虎(BHU)智能路由器,却被曝出存在多个安全漏洞,甚至引发国外媒体的关注。
按照研究人员在IOActive上发布的安全公告显示,必虎智能路由器在用户的身份验证机制上存在漏洞,攻击者无需身份验证,即可访问存储在系统日志中的敏感数据。不仅如此,攻击者还能以root权限在路由器上执行系统级别的控制命令。
必虎智能路由器
此外,该路由器默认还启用了隐藏用户、SSH、硬编码root密码等功能,而且它还会向所有用户的HTTP通信数据中注入第三方的JavaScript脚本文件。
例如,攻击者能够使用数值为700000000000000的硬编码会话ID(SID)来获得管理员权限。即使他拼错SID或将数值降为零,同样也没问题,该路由器能够接受任何数值,仍然可授予用户管理员权限。
更糟糕的是,攻击者可以通过本地网络的特殊URL来访问包含用户敏感数据的路由器系统日志。攻击者可以查看用户登录日志,并从那里获取到管理员的SID。事实上,研究人员发现的硬编码SID值,相当于一个隐藏的后门。
此外,研究人员发现,该路由器每次启动WAN连接,就会打开SSH端口,这就意味着任何攻击者可以通过互联网访问的SSH控制台。
而 且,该路由器还能将广告注入到网络流量里,因为该路由器的固件包含有内置版本的Privoxy代理软件。所以,通过这个代理,该路由器可转移所有用户的 Web通信,并在URL地址为http://chdadd.100msh.com/ad.js的每页末尾追加一个JavaScript文件。这为攻击者进 行嗅探通信,重写固件,或改变用户的流量,注入广告或恶意软件提供了可能。
在此希望相关厂商可以快速修补漏洞,以确保用户的上网安全。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 逐梦苍穹 习近平引领航天强国建设 4964772
- 2 神十八发射取得圆满成功 4929441
- 3 职高女孩逆袭成双一流大学研究生 4843324
- 4 解码首季经济成绩单 4725659
- 5 女子火车上如厕时130g黄金掉落铁轨 4615360
- 6 夫妻养2.8万只鸡 为省人工自己捡蛋 4541513
- 7 神十八点火瞬间航天员齐刷刷敬礼 4452372
- 8 居民家中储存10吨53度白酒被罚 4386833
- 9 深圳部分区域将取消限购不实 4231009
- 10 女生租房后失联 房东去查房时惊呆了 4168233