华硕路由器的最新固件更新修复了CSRF安全漏洞
首席医务官要求数据驱动的健康战略
电子签名如何修复破碎的数字化
IOT应用程序漏洞会使设备打开攻击
Microsoft Yanks Makgy Windows补丁KB 4052233,4052234,4052235
Apple升级Safari为旧版本的麦克斯
华为在2019年在挑战中,2019年的旨在更具弹性
援助工作者如何使用加密通信来保持安全区域安全
谷歌的HTC交易不会解决其最大的像素问题
政府不足以解决移动非斑点
Microsoft补丁问题持续:坏释放序列,CRM块等
微软终于在IE和Edge中禁止了SHA-1证书
在公司中采用数字学习
Apple想告诉您关于这些IOS 11的改进
小心:在Piriform的CCleaner安装程序中找到恶意软件
惠普滚动了修补程序以修复某些笔记本电脑中的键入kgging bug
沃达丰用4克无人机传播圣诞节欢呼声
DWP完成普遍信用推出
常问问题:Microsoft选取新的Windows Server升级蓝图
Mozilla停止对Windows XP和Vista的Firefox所有支持
谷歌在其Android-Chrome OS对齐上调整了气体
企业缺乏对抗持续网络攻击的能力
Project XCloud:Microsoft借鉴了Azure,用于设备无关的游戏推动
APAC医疗保健提供商收获数字转型返回
OpenStack Foundation Hails开放和包容性软件开发的创新效益
微软承诺修复了几个长期的表面问题
微软的最新补丁带来了许多窗户和办公室修复和许多混乱
访问全光纤宽带继续扩大沃达丰 - CityFibre合作伙伴关系
政府在GOV.uk核实数字身份系统的投资
英国可以做更多的事情来探索量子技术的潜力
Apple挑战澳大利亚拟议的解密法
Apple的Android升级Jabs带有一个关键的警告
巴黎最新的城市加入科技全球倡导者
英国竞争看门狗关注PayPal的Fintech收购
CDN工程师说,现在已经升级到TLS 1.3了
富士通力向企业重组推进
为什么IT基础设施方法需要现代化
Stem公司运行英国国家计算教育中心
Facebook吸引爱尔兰至尊法院的欧盟 - 美国数据转让裁决
回声谁?谷歌刚刚回到了生产力推动力
邮局高管在地平线IT系统试验中交叉检查
在挪威试验的邮政交付机器人
技术在CBI预算前愿望清单中占据中心舞台
我们站在凌乱的9月Windows和.NET修补程序中
Microsoft确认停滞下载,Win10中的虚假错误FCU更新KB 4054517
SAP客户体验Live 2018:SAP介绍了C / 4 HANA努力
企业在六个月内获得锁定的Windows 10
卡巴斯基推进计划鼓励妇女进入网络
iOS 11 vs.Android 8.0:哪个更好?出色地...
Mozilla Execs Clash在Firefox是否有未来
您的位置:首页 >政策法规 >

华硕路由器的最新固件更新修复了CSRF安全漏洞

2021-08-19 17:44:05 [来源]:

华硕RT-N和RT-AC系列路由器的用户应安装为其模型发布的最新固件更新,因为它们地址漏洞可能允许攻击者劫持路由器设置。

研究人员从安全咨询课程夜间观察网络安全发现的缺陷发现,并且留下了许多暴露于跨站点请求伪造(CSRF)攻击的华硕路由器模型。

CSRF是一种攻击技术,涉及在访问特制的网站时劫持用户的浏览器并强制将未经授权的请求发送到不同的网站 - 或者在这种情况下,可以通过局域网访问路由器基于Web的管理界面(LAN)。

根据NightWatch研究人员,运行公司统一ASURWRT固件的大多数华硕路由器的Web界面的登录页面有任何类型的CSRF保护。这允许恶意网站通过用户通过用户向华硕路由器发送登录请求。

为了脱离这样的攻击,黑客需要知道目标路由器的LAN IP地址和其管理员帐户的密码。在许多情况下,此信息易于获取。

网页有方法是扫描访问者的本地网络。甚至有一个名为Sonar.js的开源JavaScript框架,其中包含不同路由器的“指纹”。

但是,在大多数情况下,甚至不需要这种先进的技术,因为在ASUS路由器的情况下,用户很少更改其路由器的路由器默认IP地址 - 192.168.1.1。

许多用户也不要更改他们的路由器的默认和公开记录的用户名和密码组合 - Adus Routers的admin / admin。有些用户不改变这些凭据,因为他们不知道如何,而其他人则不知所措,基于他们的路由器不能攻击的错误信念,因为它的Web界面没有暴露在互联网上。

不幸的是,这种思路并不考虑到CSRF和其他基于LAN的攻击。劫持路由器“在过去几年中观察到的大规模CSRF运动,并且在过去几年中观察到的设置,以及安全供应商最近发现旨在损害局域网的路由器的计算机和移动恶意软件程序。

一旦通过CSRF在路由器上进行身份验证,攻击者将在本周的咨询中表示,攻击者更改了一个设置。他们说,因为节省了任何配置修改的页面也缺乏CSRF保护。

对路由器的常见攻击是更改其DNS(域名系统)服务器设置,强制使用攻击者控制的DNS服务器。由于DNS用于将域名转换为IP地址,因此攻击者可以使用它们对DNS响应的控制,以将通过受损路由器连接到伪造网页的指导用户。

这使得能够强大的网络钓鱼攻击,因为浏览器地址栏将继续显示用户尝试访问的合法网站的正确域名,但是加载的页面将由攻击者提供。

除了CSRF问题之外,夜间观察网络安全还发现了三种信息泄漏漏洞,可以从远程网站或同一LAN上的移动应用程序利用,以暴露有关路由器配置的详细信息,包括其无线网络密码。

华硕不会将所有这些问题视为安全漏洞。该公司发布了固件更新,以修复CSRF问题以及3月和4月的许多受影响模型的一些信息泄漏。但是,有用户报告至少有一个模型,4G-AC55U也是易攻击的并且没有补丁。

路由器的常见问题是,即使固件更新变为可用,甚至很少有用户也会在其设备上下载和安装它们的麻烦。固件更新过程在路由器上并不完全直接,但供应商通常不清楚这些更新包含或为什么所需的原因。

例如,新的ASUS路由器固件更新的发行说明提及以下安全问题已得到修复:CVE-2017-5892,CVE-2017-5892,CVE-2017-6547,CVE-2017-6549和CVE-2017-6548。

要了解这些漏洞的内容,用户必须自己搜索互联网,即使是,他们可能没有找到有用的信息。例如,如果用户在3月或4月在CV-2017-5891和CVE-2017-5892中搜索CVE-2017-5891,他们就会发现没有细节。如果他们现在搜索,他们“LL可能会遇到第三方的噩梦网络安全咨询周二。

由于有关这些漏洞的详细信息,现在可以公开可用,因此华硕路由器所有者应尽快为其型号安装固件更新。还有其他操作可以采取减少一般损害的似然路由器。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。