华硕RT-N和RT-AC系列路由器的用户应该安装最新发布的固件更新,因为它们解决了可能让攻击者劫持路由器设置的漏洞。
这些漏洞是由安全咨询机构Nightwatch Cybersecurity的研究人员发现的,并使许多华asus型号的路由器暴露在跨站点请求伪造(CSRF)攻击之下。
CSRF是一种攻击技术,当用户访问一个特别制作的网站时,它会劫持用户的浏览器,迫使其向另一个网站发送未经授权的请求——在这种情况下,通过局域网访问路由器基于web的管理界面。
用于运行公司的统一AsusWRT固件大部分华硕路由器的Web界面的登录页面没有任何类型的CSRF保护,根据夜巡的研究人员。这允许恶意网站发送至用户的浏览器登录请求华硕路由器不知情的情况下。
为了完成这样的攻击,黑客需要知道目标路由器的LAN IP地址和其管理帐户的密码。在许多情况下,这些信息很容易获得。
有办法的网页扫描访问者的本地网络中的设备。甚至有一个开源的JavaScript框架调用Sonar.js一个包含不同路由器的“指纹”。
然而,这些先进的技术甚至不需要在大多数情况下,因为用户很少改变他们的路由器的默认IP地址 - 在华硕路由器的情况下,192.168.1.1。
很多用户也不会更改他们的路由器默认的和公开记录的用户名和密码组合——华硕路由器的admin/admin。一些用户不更改这些凭证是因为他们不知道如何更改,而另一些用户不这样做是出于方便,并且错误地认为他们的路由器不会受到攻击,因为它的web界面没有暴露在互联网上。
不幸的是,这种想法并没有考虑到CSRF及其它基于网络的攻击。这劫持路由器的设置大型CSRF活动曾被观察到在野外,在过去的几年中,与安全厂商最近发现设计妥协路由器在局域网中的计算机和移动恶意程序。
Nightwatch的研究人员在报告中说,一旦通过CSRF在路由器上进行了验证,攻击者就可以毫无问题地改变路由器的设置一个顾问这个星期。他们说,这是因为保存任何配置修改的页面也缺乏CSRF保护。
对路由器的一种常见攻击是更改它们的DNS(域名系统)服务器设置,迫使它们使用由攻击者控制的DNS服务器。由于DNS被用来将域名转换为IP地址,攻击者可以利用他们对DNS响应的控制,直接用户通过一个受损的路由器连接到假网页。
这使得强大的网络钓鱼攻击,因为浏览器的地址栏将继续为合法网站的用户尝试访问显示正确的域名,但加载页面会被攻击者提供。
除了CSRF问题,Nightwatch网络安全还发现了三个信息泄露漏洞,这些漏洞可能被远程网站或同一局域网上的移动应用程序利用,从而暴露路由器配置的细节,包括无线网络密码。
华硕并不认为所有这些问题都是安全漏洞。该公司发布的固件更新修复CSRF问题和一些信息泄露,为许多受影响的型号在3月和4月。然而,有用户报告说,至少有一种型号,4G-AC55U,也容易受到攻击,而且没有补丁。
路由器的一个常见问题是,即使固件更新可用,也很少有用户会费力地下载并安装到他们的设备上。固件更新过程并不是很直接但供应商往往不清楚这些更新包含什么内容,以及为什么需要这些更新。
例如,对于新的华硕路由器固件更新的发行说明提到了以下安全问题已得到修复:CVE-2017-5891,CVE-2017-5892,CVE-2017-6547,CVE-2017-6549,CVE-和2017-6548。
要了解这些漏洞是关于什么的,用户必须自己搜索互联网,即使这样,他们也可能找不到有用的信息。例如,如果用户在3月或4月搜索CVE-2017-5891和CVE-2017-5892,他们不会找到任何细节。如果他们现在搜索,他们可能会遇到第三方公司Nightwatch周二发布的网络安全咨询。
由于这些漏洞的详细信息已经公开,华硕路由器用户应该尽快安装固件更新。也有其他可以采取的行动以减少可能性路由器被妥协一般。