一位安全研究人员在许多Ruckus无线路由器中发现了几个漏洞,此网络巨人此后对此进行了修补。

Gal Zror告诉TechCrunch,他发现的漏洞位于该公司的Unleashed路由器系列中运行的Web用户界面软件中。

无需路由器密码即可利用这些缺陷,并可用于从Internet上完全控制受影响的路由器。

路由器充当家庭或办公室网络与更广泛的Internet之间的网关。路由器还是防止未经授权访问该网络的主要防线。但是路由器可能是单点故障。如果攻击者发现并利用了路由器软件中的漏洞,则他们可以控制该设备并获得对更广泛的内部网络的访问权限,从而使计算机和其他设备遭受黑客和数据盗窃。

Zror说,他的三个漏洞可用于获取路由器的“ root”特权(最高访问级别),从而使攻击者可以不受限制地访问设备和网络。

Zror说,尽管这三个漏洞的利用难度因人而异,但最简单的漏洞仅使用一行代码。

通过完全控制路由器,攻击者可以看到网络中所有未加密的Internet通信。攻击者还可以从网络上的用户以静默方式将流量重新路由到旨在窃取用户名和密码的恶意页面。

Zror说,由于许多路由器都可以从Internet访问,因此它们成为“非常适合僵尸网络的候选人”。那时,攻击者将脆弱的路由器(或任何其他与Internet连接的设备)强行加入到自己的分布式网络中,该分布式网络由恶意行为者,可以集体告诉他们用大量垃圾流量攻击网站和其他网络,将其关闭。

Zror说,互联网上有成千上万的易受攻击的Ruckus路由器。他在德国年度混沌通信大会会议上透露了他的发现。

Ruckus告诉TechCrunch,它修复了200.7.10.202.92软件更新中的漏洞,但表示客户必须自己更新易受攻击的设备。

Ruckus发言人Aharon Etengoff表示:“通过设计,我们的设备不会自动获取并安装软件以确保我们的客户可以适当地管理其网络。”他说:“我们强烈建议客户和合作伙伴尽快部署最新的固件版本,以缓解这些漏洞。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。