近日,安全研究人员对市面上6款主流流行路由器进行了测试,报告显示即使固件版本更新到最新,也发现了226个漏洞。在本次测试中测试的路由器品牌包括Asus、AVM、D-Link、Netgear、Edimax、TP-Link、Synology和Linksys。IoT‖Inspector的研究人员与CHIP杂志合作进行了安全测试,重点关注主要由小型公司和家庭用户使用的模型。就漏洞数量而言,排名靠前的是TP-LinkArcherAX6000有32个漏洞,SynologyRT-2600ac有30个安全漏洞。“我们已经将这些主流路由器更新到最新版本,然后再对其进行审查,”IoTInspector的首席技术官兼创始人FlorianaLukavsky说,它会自动分析这些固件版本并检查5,000多个CVE和其他安全问题。他们的发现表明,许多路由器仍然容易受到公开披露的漏洞的攻击,即使使用最新的固件,如下表所示:。此外,该团队还发现了一些影响大多数测试模型的常见问题:使用过时Linux内核的固件、过时的多媒体和虚拟网络功能、过度依赖旧版本的BusyBox、使用弱默认密码(例如“admin”)、硬编码纯文本凭证。IoTInspector首席执行官JanWendenburg指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。使用此密钥,威胁行为者可以发送恶意固件映像更新以通过设备上的验证检查,从而可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决,它可以保证本地存储的图像安全,但这种做法并不常见。
