华硕路由器的最新固件更新修复了CSRF安全漏洞
华硕RT-N和RT-AC系列路由器的用户应安装为其模型发布的最新固件更新,因为它们地址漏洞可能允许攻击者劫持路由器设置。
研究人员从安全咨询课程夜间观察网络安全发现的缺陷发现,并且留下了许多暴露于跨站点请求伪造(CSRF)攻击的华硕路由器模型。
CSRF是一种攻击技术,涉及在访问特制的网站时劫持用户的浏览器并强制将未经授权的请求发送到不同的网站 - 或者在这种情况下,可以通过局域网访问路由器基于Web的管理界面(LAN)。
根据NightWatch研究人员,运行公司统一ASURWRT固件的大多数华硕路由器的Web界面的登录页面有任何类型的CSRF保护。这允许恶意网站通过用户通过用户向华硕路由器发送登录请求。
为了脱离这样的攻击,黑客需要知道目标路由器的LAN IP地址和其管理员帐户的密码。在许多情况下,此信息易于获取。
网页有方法是扫描访问者的本地网络。甚至有一个名为Sonar.js的开源JavaScript框架,其中包含不同路由器的“指纹”。
但是,在大多数情况下,甚至不需要这种先进的技术,因为在ASUS路由器的情况下,用户很少更改其路由器的路由器默认IP地址 - 192.168.1.1。
许多用户也不要更改他们的路由器的默认和公开记录的用户名和密码组合 - Adus Routers的admin / admin。有些用户不改变这些凭据,因为他们不知道如何,而其他人则不知所措,基于他们的路由器不能攻击的错误信念,因为它的Web界面没有暴露在互联网上。
不幸的是,这种思路并不考虑到CSRF和其他基于LAN的攻击。劫持路由器“在过去几年中观察到的大规模CSRF运动,并且在过去几年中观察到的设置,以及安全供应商最近发现旨在损害局域网的路由器的计算机和移动恶意软件程序。
一旦通过CSRF在路由器上进行身份验证,攻击者将在本周的咨询中表示,攻击者更改了一个设置。他们说,因为节省了任何配置修改的页面也缺乏CSRF保护。
对路由器的常见攻击是更改其DNS(域名系统)服务器设置,强制使用攻击者控制的DNS服务器。由于DNS用于将域名转换为IP地址,因此攻击者可以使用它们对DNS响应的控制,以将通过受损路由器连接到伪造网页的指导用户。
这使得能够强大的网络钓鱼攻击,因为浏览器地址栏将继续显示用户尝试访问的合法网站的正确域名,但是加载的页面将由攻击者提供。
除了CSRF问题之外,夜间观察网络安全还发现了三种信息泄漏漏洞,可以从远程网站或同一LAN上的移动应用程序利用,以暴露有关路由器配置的详细信息,包括其无线网络密码。
华硕不会将所有这些问题视为安全漏洞。该公司发布了固件更新,以修复CSRF问题以及3月和4月的许多受影响模型的一些信息泄漏。但是,有用户报告至少有一个模型,4G-AC55U也是易攻击的并且没有补丁。
路由器的常见问题是,即使固件更新变为可用,甚至很少有用户也会在其设备上下载和安装它们的麻烦。固件更新过程在路由器上并不完全直接,但供应商通常不清楚这些更新包含或为什么所需的原因。
例如,新的ASUS路由器固件更新的发行说明提及以下安全问题已得到修复:CVE-2017-5892,CVE-2017-5892,CVE-2017-6547,CVE-2017-6549和CVE-2017-6548。
要了解这些漏洞的内容,用户必须自己搜索互联网,即使是,他们可能没有找到有用的信息。例如,如果用户在3月或4月在CV-2017-5891和CVE-2017-5892中搜索CVE-2017-5891,他们就会发现没有细节。如果他们现在搜索,他们“LL可能会遇到第三方的噩梦网络安全咨询周二。
由于有关这些漏洞的详细信息,现在可以公开可用,因此华硕路由器所有者应尽快为其型号安装固件更新。还有其他操作可以采取减少一般损害的似然路由器。