D-Link DIR-620 路由器被曝后门账户
翻译:360代码卫士团队
卡巴斯基实验室的安全研究员从 D-Link DIR-620 路由器固件中找到一个后门账户,可导致攻击者接管任意可通过互联网访问的设备。
研究人员指出,这个后门账户可允许攻击者访问设备的 web 面板,而设备所有人无法禁用这个秘密账户。
保护设备免遭入侵的唯一办法就是避免路由器泄露 WAN 接口上的管理面板,从而避免通过互联网搜索到设备。
为防止遭滥用,研究人员并未公开这个后门账户的用户名和密码。
这个后门账户 (CVE-2018-6213) 只是研究人员在开展安全审计时从该路由器固件中发现的四个漏洞中的一个。其它三个漏洞包括:
CVE-2018-6210:可导致攻击者恢复 Telnet 凭证的漏洞。
CVE-2018-6211:可导致攻击者通过管理面板上其中一个 URL 参数执行操作系统命令。
CVE-2018-6212:路由器“快速查找”管理面板字段中存在的反射型跨站点脚本漏洞。
CVE-2018-6210和 CVE-2018-6213 能导致攻击者轻易访问设备,因此被评为严重缺陷。
好在 D-Link DIR-620 设备是老旧的路由器机型,因此易受攻击的路由器数量并非十分庞大。
这些设备多数由俄罗斯、独联体国家和东欧地区的互联网服务提供商作为预置设备提供给宽带用户。
多数设备用户位于俄罗斯,卡巴斯基表示已将问题通知各互联网服务提供商。
从 Shodan的搜索结果来看,暴露到网上的 DIR-620 路由器数量不到100台,表明多数互联网服务提供商已经收到研究人员的警告并且限制对网络上这些设备的访问。
卡巴斯基实验室专家表示已联系并将问题告知 D-Link 公司,但后者表示并不打算为这个老旧型号推出新固件更新,除非其互联网服务提供商服务的企业用户特别要求为设备推出安全更新。
研究人员表示已测试如下 DIR-620 固件版本,并发现它们均包含危害程度不一的这四个漏洞:
1.0.3
1.0.37
1.3.1
1.3.3
1.3.7
1.4.0
2.0.22
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。