Netgear路新天地棋牌漏洞的更新和更多信息

2016年12月9日,我们首先了解到某些Netgear路新天地棋牌中的命令注入漏洞。在最坏的情况下,仅查看恶意网页可能会导致路新天地棋牌被黑客入侵。接下来是对问题的回顾和扩展以及最新动态。然后,一些防御性计算建议可以保护路新天地棋牌。

Netgear正在通过他们的通讯 VU 582384的安全建议。自最初发布以来,它已经进行了许多次更新,并且应该具有最新信息。 

迄今为止,该公司已确认11种路新天地棋牌型号易受攻击。您可能认为已经有足够的时间使此列表成为最终列表,但该咨询报告仍说 “ NETGEAR正在继续审查我们的整个产品组合,以寻找可能受此漏洞影响的其他路新天地棋牌。”

最初,Netgear为所有易受攻击的型号发行了Beta固件,目前,它已为三种型号的产品全面调试了生产固件。该通报称,该beta软件显然存在缺陷。 “如果不将固件升级到生产版本,则此命令注入漏洞的可能性仍然存在。”

Netgear已承诺修复所有易受攻击的路新天地棋牌。对于路新天地棋牌而言,情况并非总是如此,许多供应商有时没有修补被认为过旧的已知漏洞(生命周期终止是“太旧”的正式术语)。

Netgear因忽略此漏洞的初次报告而受到公开谴责。但是,发现问题的人,经过的人 AceW0rm ,仅通过电子邮件发送给Netgear 一旦 。就是这样,2016年8月25日只有一封电子邮件。几天前,他在推特上发消息称,Netgear告诉他他们只是错过了他的电子邮件。

我们不知道这是否是真的,但是任何与大型官僚机构打交道的人都意识到这种可能性。给大公司发送一封电子邮件并期望得到答复,这使我感到不切实际。尚不清楚CERT是否曾在发布警告关闭Netgear路新天地棋牌之前尝试与Netgear联系。

在最初的几天中,建议使用许多命令让Netgear所有者测试其路新天地棋牌是否易受攻击。最好的, 来自德国的海斯。他们的建议不仅对路新天地棋牌的影响最小,而且Heise是唯一提供对不良响应的印象的屏幕截图的人。他们的英文建议是 

http://www.routerlogin.net/cgi-bin/;echo$IFS'Vulnerable'

如果这导致网页上显示单词“易受攻击”,则表明该路新天地棋牌易受攻击。

请注意,所有建议的测试都必须从LAN端设备运行。如果没有拜访父母,或者无法远程控制他们的一台计算机,就不能使用它们来测试父母的路新天地棋牌。

Netgear路新天地棋牌支持备用固件DD-WRT。当前的缺陷不应影响DD-WRT。那就更多了。这个缺陷是 在DD-WRT中报告 早在2009年7月。

如下所示的临时替代方法,将杀死路新天地棋牌的易受攻击的Web界面。它是 由Bas van Schaik建议 而Netgear,无论出于何种原因,都从未对此发表评论。

http://www.routerlogin.net/cgi-bin/;killall$IFS'httpd'

请注意,“ http”周围的引号必须是直的而不是倾斜的。

要验证Web界面是否真正脱机,只需导航至www.routerlogin.net并希望它失败。这是一个临时修复,重新启动路新天地棋牌会使一切恢复正常。

如本例所示,恶意JavaScript攻击路新天地棋牌是一种 破旧的攻击矢量图。如此之多,以至于我在 RouterSecurity.org 使用地点 非标准子网 在局域网上。

但这还不够,因为坏人可以了解加载了恶意网页的计算机的LAN端IP地址。由于大多数路新天地棋牌的IP地址都以1结尾(例如192.168.1.1),因此它给了坏蛋一个目标。也就是说,如果计算机的IP地址是192.168.0.22,则该网络上的路新天地棋牌很可能是192.168.0.1。

所以,不要那样做。可以将许多(如果不是大多数)路新天地棋牌重新配置为使用其他LAN端IP地址。 

并且,还有其他针对基于JavaScript的路新天地棋牌攻击的防御措施。 

例如,登录路新天地棋牌的Web界面时无需使用标准的TCP / IP端口。也就是说,而不是使用

http://www.routerlogin.net

许多路新天地棋牌让您登录

http://www.routerlogin.net:9999

其中9999是专门选择的备用端口,以使这种攻击更加困难。遗憾的是,Netgear路新天地棋牌不允许您指定备用端口。

然后,也不必允许网络上的每个计算设备访问路新天地棋牌。有多种方法可以防止这种情况:VLAN,来宾网络(可能),通过IP地址,MAC地址或对以太网连接的设备的访问进行限制。

不同的路新天地棋牌提供了不同的选择,但是针对此Netgear问题没有一个选择,因此我的猜测是Netgear不提供任何这些保护(我无法访问易受攻击的Netgear路新天地棋牌,因此我可以确认一下)。

最后,Netgear有一个 安全咨询通讯,他们声称每月发送一次公告。这是 错误 ,公告需要在 如所须 基础。我注册了新闻通讯,但没有关于Beta固件版本或前三个型号的生产固件的电子邮件。我不知道Netgear是否与注册路新天地棋牌的人联系。

大教训

退后一步,在这里看到全局很重要。

Netgear和其他大多数 面向消费者的路新天地棋牌,根本不适合大多数人。尽管它们可能是从ISP发布的路新天地棋牌(通常是 最糟糕的选择 ),它们遭受的漏洞要比任何单个安全问题都要严重- 更新固件 .

可以肯定的是,绝大多数路新天地棋牌用户并未关注固件版本。他们也不必这样做。 

手动更新路新天地棋牌固件是需要淘汰的传统。非技术人员需要能够自我更新的路新天地棋牌。不问,不告诉,只是更新。就像Chromebook。

一些可以自我更新的路新天地棋牌是Google OnHubs,Google Wifi,Eero,Luma,Netgear自己的Orbi,Synology RT1900ac,Starry Station,Turris Omnia以及一些Linksys和FRITZ!Box模型。

我看不到将任何需要手动固件更新的路新天地棋牌提供给非技术人员的情况。这应该是该Netgear安全漏洞的教训。

反馈
现在,Computerworld和所有母公司IDG的网站都消除了用户评论,您可以通过电子邮件以我的全名通过Gmail私下与我联系。公众评论可以通过@defensivecomput在Twitter上定向给我。 

版权 © 2016 IDG通讯 ,Inc.

  
在亚马逊上购买技术产品