D-link家用路由器被曝存严重漏洞

据外媒报道，近期信息安全研究员皮埃尔·金(Pierre Kim)公开D-Link(友讯)DIR 850L消费级无线路由器存在的10个严重漏洞，由于此前与D-Link沟通不畅，还未提前告知该公司漏洞的存在。

据悉，皮埃尔·金于2017年2月曾告知D-Link 9个漏洞，但D-Link随后只修复了其中一个漏洞。

此次公开的D-Link漏洞涉及多方面问题，如缺乏对固件镜像的适当保护机制，意味着黑客可以向目标设备注入包含后门的恶意拷贝，以及D-Link私有的mydlink云协议中的漏洞。皮埃尔·金还发现了远程代码执行漏洞、默认密钥，以及DDoS(分布式拒绝服务攻击)风险。其他风险还包括跨站脚本攻击(XSS)、明文存储密码，以及LAN后门等。

皮埃尔·金总结道：“D-Link 850L是一款设计糟糕的路由器，存在大量漏洞。从LAN到WAN，所有一切都存在问题。”

对此，D-Link尚未做出回应，并且目前尚不清楚D-Link是否会承认这些漏洞的存在，以及是否打算修复这些漏洞。

据报道称，皮埃尔·金在此前与D-Link的沟通中感到不愉快，并表示：“由于此前与D-Link沟通的困难，这次我选择了完全披露。他们之前没有认真考虑信息安全问题，因此这一次我在没有与他们协调的情况下公开了这项研究。我建议立即断开有漏洞路由器与互联网的连接。”

Westermo多个工业级路由器存在高危漏洞

当前,网络攻击手法不断翻新,网络安全环境不断恶化,甚至工控网络也被不法黑客所觊觎。2016年底乌克兰电网遭受恶意软件攻击,致使大量居民断电。而国外一家水务公司的网络控制器被攻击,这些设备却管控着用于水处理的有毒化学物质。。。工控网络被袭击的威胁可见一斑。

目前安全研究人员发现,被广泛用于能源、制造、商业设施等领域的数款Westermo工业路由器存在着高危漏洞,令这些工控网络随时可遭受不法黑客的攻击。根据外媒报道,Westermo旗下的MRD-305-DIN、MRD-315、MRD-355和MRD-455工业路由器固件中存在编号为CVE-2017-5816的硬编码漏洞,可暴露SSH和HTTPS证书及其相关私钥。不仅能导致攻击者进行中间人攻击,并解密流量,还可获得提升设备访问权限的管理员证书。

同时,还存在编号CVE-2017-12709的中/高危等级漏洞,可让攻击者通过用户名与密码均为"user"登录设备账户,虽然该漏洞只能使攻击者获得有限的访问权限。

此外,这些工业路由器的管理界面中存在几个网页没有使用任何跨站点请求伪造(CSRF)保护,允许攻击者代表身份验证的用户执行各种操作。

所幸该公司已针对上述漏洞进行了修补,建议使用者尽快安装升级。

家中无线路由器存在漏洞 这些你知道吗

无线路由器市场竞争如火如荼，众多厂商的旗舰产品和重磅新品令人目不暇接。在无线路由器几乎普及到每一个家庭中的今天，保护家庭网络的安全是用户的头等大事。同时，路由器制造商也需要加强在安全方面的投入，保护消费者免受未来的任何安全威胁。根据相关报告显示大约75%的无线路由器的固件，容易被黑客利用。

可见大多数家庭正在使用的无线路由器，并不能100%的保护用户的网络安全。从我们现实的生活来看，家中的无线路由器基本没有遭到攻击的人们依然占大多数。不过，要是有黑客专门对您的家中进行网络攻击，我们的个人信息、财产等，还是会被对方获取。那么是什么原因，让大多数用户的无线路由器处在安全的状态中呢?

发现陌生设备要强制断开它的联网

网络世界中，每天都在上演着攻击者和防御者的大战，黑客费尽心思的找出系统的漏洞，而厂商和“白帽子”也在全力以赴的修复这些bug，关闭攻击的入口。单枪匹马的黑客，相比于强大的厂商来说，财力差了不是一星半点儿。厂商可以投入更多的金钱和更多的人力去查找并弥补这些漏洞，这一优势太过明显，是孑然一身的黑客无法企及的。

目前，市场上火热的智能路由器，对于安全防护这一块也非常看重。可以帮助家庭用户阻止钓鱼网站和有恶意插件的网站，保护用户的上网安全。并且这些功能不需要用户进行具体设置，用户掏出手机轻轻一点，就能够看到自己使用无线路由器的安全状况。最后，我们要提醒用户，无线路由器的系统要经常查看是否有升级，要随时将其升级到最新版本。系统后台和无线密码，都要采用复杂密码，经常查看接入设备清单，避免陌生设备入侵。