31 款 Netgear 路由器曝新漏洞 上万台设备受影响

据外媒报道,安全研究公司 Trustwave 已经在 31 款网件(Netgear)路由器上发现了新漏洞,预计至少有上万台设备受到影响或面临风险。Trustwave 披露道:新漏洞使得攻击者可以发现或完全绕过一台 Netgear 路由器上的任意密码并完全控制该设备,包括变更配置、将受感染路由器转为僵尸网络的一部分、甚至上载新固件。

如果路由器开放了(默认并未开启的)互联网访问权限,那么一名远程攻击者就能够轻易得逞。

尽管如此,任何可物理接触到该网络的人,还是可以轻松通过本地途径利用缺陷设备上的该漏洞,包括咖啡馆、图书馆等公共 Wi-Fi 场所。

鉴于用户会惯性地在很多地方使用相同的密码,在取得了设备的管理员密码之后,攻击者相当于建立了最初始的立足点,然后遍历整个网络上的设备。

万幸的是,Netgear 方面已经意识到了这些漏洞,当前正在为受影响的路由机型推送新固件(包括使用了 Netgear 固件的联想 R3220 路由器)。

此外,该公司还重申了其 Bugcrowd 信息披露项目,旨在让以后的 Bug 汇报工作变得更加方便,从而让自家产品变得更加安全。

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-10-24 02:00:07

31 款 Netgear 路由器曝新漏洞 上万台设备受影响的相关文章

SAP Afaria产品曝严重漏洞 大量移动设备受影响

Afaria是德国SAP软件公司开发的一个移动设备管理(MDM)解决方案,是目前市场上最为流行的MDM解决方案,大约有6300个企业用它管理着1亿300万的移动设备. ERPScan是专门负责保护SAP和Oracle重要ERP系统的安全公司,其安全人员却在SAP的Afaria上发现了一系列严重漏洞,他们原计划是在3月底的Black Hat会议(亚洲)上披露这些问题的,但SAP没有及时发布补丁,所以原计划的披露演讲也就推迟了.直至周四亚特兰大举行的 Hacker Halted会议上才公布漏洞的相关

BIND9 DoS漏洞CVE-2016-8864 绿盟科技发布技术分析与防护方案 北京有1435台设备受影响

ISC发布BIND9 DoS漏洞CVE-2016-8864,该漏洞出现在db.c 或 resolver.c 模块中,可能导致处理递归请求过程中出现问题,最终导致服务器停止响应.绿盟科技随即发布技术分析与防护方案. 通告全文如下 2016年11月1日(当地时间),ISC互联网系统协会(Internet Systems Consortium)官网发布了一个关于BIND 9项目的安全公告,公布了编号为CVE-2016-8864的漏洞.BIND 9服务器在处理包含DNAME记录的递归查询响应时,会在re

D-Link云摄像头超过120款产品存在漏洞,约40万台设备受影响

之前也有过摄像头存在安全漏洞,隐私被泄露出去的事件.这次事件的主角轮到了D-Link云摄像头.一位叫Stephen Ridley的安全研究员发现了D-Link云摄像头漏洞的存在,并且他还发现了超过120款产品存在相同的漏洞. 超过40万D-Link设备可以被在线利用 自从RCE漏洞可以通过网络连接被执行以后,任何存在这一漏洞D-Link设备通过一个ping命令就能成功连接上,这存在潜在的危险.研究员声称总共超过40万的D-link设备目前可以在线使用. 在之前他计划出席2016年安全周末ICS网

大漏洞!!Bluebox 声称 Android 存在安全漏洞,99% 设备受影响

class="post_content" itemprop="articleBody"> Android 是开源系统,开发者或保安公司人员可轻易检查到当中的程式码,Bluebox 的安全研究团队也因此发现 Android 系统存在一个安全漏洞,受影响对象包括近 4 年绝大部份的 Andr​​oid 设备-- 按照其说法,这个漏洞自 Android 1.6(Donut)以来就一直存在,心怀不轨的开发者可以在不破解加密签名的前提下利用它来修改合规 APK 的代码,

苹果iOS10曝新漏洞:超长字符让激活锁形同虚设

激活锁是苹果对抗iPhone窃贼的主要手段之一,它的作用是当使用者试图关闭查找iPhone功能或恢复出厂化设置时要求其输入Apple ID密码,以确认使用者是否是机主本人.苹果iOS10曝新漏洞:超长字符让激活锁形同虚设 但遗憾的是,安全专家最近一下子就发现了2种绕过激活锁的方法.第一种方法由安全研究者Hemanth Joseph所发现,他在iPad的Wi-Fi设置窗口当中输入了超长字符,以此使得iOS的安全软件层崩溃. 虽然苹果据称已经在iOS 10.1.1升级当中修复了这个bug,但bug悬

Android曝新漏洞:黑客可用一键认证盗取用户密码

近段时间,黑客们在Android系统中发现了大量的漏洞,其中包括了将合法Android软件变成恶意软件.FBI可远程监听Android电话麦克风等等.现在, PCWorld又曝出了Android的一个新漏洞--使用谷歌的一键式认证即可盗取用户密码.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 464px; height: 338px" border="0&quo

微软浏览器再曝新漏洞 最新版IE8未能幸免

2月5日消息,据国外媒体报道,微软周三提醒用户,IE浏览器再曝新漏洞,最新版的IE8也未能幸免. 微软称,在特定情况下,该漏洞允许黑客获取用户计算机中所存储的文件.微软在一份安全声明中称:"如果用户使用特定版本的IE浏览器,即使在'安全浏览'模式下,黑客也可以获得所需文件,但前提是知道文件名和路径." 受影响的浏览器版本包括Windows 2000上的IE 5.01和IE 6,Windows 2000 SP4上的IE 6,Windows XP和Windows Server 2003上的

Office最新0day漏洞 所有Word版本受影响

4月10日讯 安全研究人员指出,攻击者正利用Microsoft Word中先前未披露的漏洞秘密安装各种恶意软件,即便电脑打了安全补丁,也无济于事. Office最新0day漏洞 所有Word版本受影响 -E安全 与大多数文档相关的漏洞不同,这个尚未修复的零日漏洞并不依赖宏.因为在打开启动宏的文件时,Office通常会警告用户这类文件存在风险,而该漏洞"机智"的避开了这一点. 相反,受害者打开任意一个欺骗性Word文档时就会触发该漏洞.欺骗性Word文档从服务器下载一个恶意HTML应用程

安卓被曝新漏洞 Google语音搜索攻击

[中关村在线软件资讯]7月25日消息:据媒体报道,安卓被曝出新漏洞,Google语音搜索攻击,攻击者可利用一个零权限的Android应用VoicEmployer,前台激活操作系统内置的语音助手模块GoogleVoiceSearch,后台播放预先准备好的音频文件,语音搜索能识别语音命令执行相应操作.Google语音搜索借助这一机制,攻击者不需要任何权限就可以拨打任意电话号码,伪造短信/电子邮件,访问私人信息传输敏感数据,实现远程控制.研究人员认为,在理论上任何内置GoogleServices Fr