近日,國家信息安全漏洞共享平台CNVD收錄了友訊(D-Link)多款
路由器產品存在的後門漏洞(收錄編號:CNVD-2013-13777)。利用該漏洞,攻擊者可以直接獲得路由器Web後台管理權限,主要對企業和個人用戶構成信息洩露和網絡運行安全威脅。具體情況通報如下:
一、 漏洞情況分析
D-Link系列路由器是友訊集團推出的寬帶路由器產品。根據漏洞研究者提交的情況,D-LINK部分路由器使用的固件版本中存在一個人為設置的後門漏洞,攻擊者通過修改User-Agent值為“xmlset_roodkcableoj28840ybtide”(沒有引號)即可繞過路由器Web認證機制取得後台管理權限。取得後台管理權限後攻擊者可以通過升級固件的方式植入後門,取得路由器的完全控制權。
二、漏洞影響范圍
CNVD對漏洞的綜合評級為“高危”。根據目前安全研究者及相關組織的測試結果,受影響的D-LINK路由固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU等。上述固件版本對應的路由器產品在國內外企業和個人用戶中應用極為廣泛。
CNVD已組織開展對漏洞風險的情況監測。至10月24日,共檢測發現到對應有62000多個IP采用D-LINK網絡設備產品。根據固件型號匹配,研判受漏洞影響的D-LINK路由器設備共對應12000多個IP,其中位於中國大陸境內的有102個IP。較少一部分IP對應的設備由於自身NAT防護策略不夠完善,可通過
互聯網進行滲透。
三、漏洞處置建議
CNVD於10月22日通過電話和郵件方式聯系友訊集團所屬友訊電子設備(上海)有限公司,通報漏洞情況,該公司尚未對漏洞信息作出回應。目前,生產廠商尚未發布漏洞補丁。為防范潛在攻擊,提出如下應對措施:
(1)請用戶排查比對路由器產品固件版本,如受漏洞影響,則及時聯系生產廠商,要求提供解決方案;
(2)用戶自行測試通過外部網絡(互聯網)是否可直接訪問路由器Web管理界面。如可訪問,建議控制外部網絡對路由器管理端口的訪問權限,或要求廠商加強產品自身的NAT防護策略;
廣大用戶還需隨時關注廠商主頁以獲取最新版本或補丁信息。CNVD將持續跟蹤漏洞處置情況,如需技術支援,請聯系CNVD。聯系電話:010-82990286,郵箱:
[email protected],網站: www.cnvd.org.cn。
相關安全公告鏈接參考如下:
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13777
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/