网络安全问题常常被我们所忽视,可是现实中由于网络安全漏洞而引发的隐私、密码等泄露事件却频频发生,不得不为网民敲响警钟。而其中的无线路由器安全问题,则更是牵动每个家庭用户甚至是企业级用户安全上网的神经。近日波兰的网络安全专家就发现了TP-Link的部分路由器存在后门漏洞的问题,而利用漏洞,攻击者可以完全控制你的无线路由器,并可对用户的信息构成较为严重的威胁。那么快来了解下这个漏洞是否存在于你使用的无线路由器中,看看是否有什么好方法来防止被黑客攻击吧。
TP-Link路由器惊陷“漏洞门”
首先,波兰网络安全专家Sajdak发现TP-Link TL-WDR4300和TL-WR743ND (v1.2 v2.0)无线路由器涉及到http/tftp的后门漏洞,随后又发现TL-WR941N和其他型号也可能受到影响。
国家信息安全漏洞共享平台CNVD收录TP-Link路由器存在后门漏洞
我国的国家信息安全漏洞共享平台CNVD现在也收录了TP-Link路由器存在有这个后门漏洞(收录编号:CNVD-2013-20783)。而在新浪微博上的多地公安局官方微博都向广大网民提出了漏洞警示。
那么这个后门漏洞到底有什么危害呢?
专家称,当攻击者利用浏览器来访问一个无需授权认证的特定功能页面后,如发送HTTP请求到start_art.html,攻击者就可以引导路由器自动从攻击者控制的TFTP服务器下载一个nart.out文件,并以root权限运行。而一旦攻击者以root身份运行成功后,便可以控制该无线路由器了。
当你的无线路由器被控制后,攻击者就会有机会获取你的网络活动信息,包括网上银行,通讯记录,甚至邮箱账号密码等等个人信息。而且现在TP- Link品牌在无线路由器的市场份额不容忽视,据市场调研机构IDC发布的最新数据表明,2012年第三季度全球无线网络市场占有率排名中,TP- Link以36.65%的市场占有率排在第一位。那么可想而知,一旦TP-Link的无线路由器有了后门漏洞,其波及面将有多大。
TP-Link已承认存漏洞 正制定新固件
波兰网络安全专家在今天2月份发现并通知了TP-Link,但直到一个月后向外界媒体公布该后面漏洞的存在时,才引起了TP-Link的重视,并确定该安全失误。
援引TP-Link公司人员的微博发言称,“这个页面是N年前供生产过程做WiFi校对所用,为了方便,一直没有加上认证。我们必须承认这是一个低级错误。”
下面为大家展示一些利用该漏洞进行攻击的代码。
首先利用Wireshark过滤功能来显示路由器的TFTP流量,发送nart.out TFTP请求,然后用burpsuite修改上传路径。
用Wireshark过滤功能显示路由器的TFTP流量(图片来自sekurak.pl)
nart.out TFTP请求(图片来自sekurak.pl)
有漏洞的路由器将通过USB在FTP上分享文件。
有漏洞的路由器将通过USB在FTP上分享文件(图片来自sekurak.pl)
用burpsuite修改上传路径(图片来自sekurak.pl)
通过查找/tmp目录,发现/tmp/samba/smb.conf,这个文件是有写权限的。
通过查找/tmp目录,发现/tmp/samba/smb.conf(图片来自sekurak.pl)
修改smb.conf 文件,执行刚才上传的/tmp/szel文件,这个路径就是刚才burpsuite抓包修改的。
修改smb.conf,执行上传的/tmp/szel,这个路径就是刚才抓包修改的(图片来自sekurak.pl)
在httpd模块中,发现对start_art.html进行处理的源代码。
在httpd模块中,发现对start_art.html进行处理的源代码(图片来自sekurak.pl)
所以当访问start_art.html时,就会从主机(192.168.1.100)拷贝nart.out到路由器,并且chmod777再执行。
访问start_art.html时,拷贝nart.out到路由器成功。(图片来自sekurak.pl)
那么有后门漏洞的路由器如何防止被黑客攻击呢?
如何防止被黑客攻击
鉴于目前TP-Link尚未提供有效的固件更新方案来修复此漏洞,所以只能利用该后门漏洞的特点展开防护。
由于这个后门漏洞是通过访问路由器的特定页面来进行攻击,因此用户应急的好方法就是要阻止攻击者访问到该路由器。
利用这个特点,在外网防护上,用户可以关闭TP-Link的WAN远程管理端口,例如将WAN口远端管理IP设置为0.0.0.0,或者可信任的IP。
将WAN口远端管理IP设置为0.0.0.0,或者可信任的IP(如图中红框内所示)
在局域网防护上,用户可以设置MAC地址访问限制功能。在LAN口设置中,只允许可信任的MAC地址访问管理界面。
当用户不在家的时候,直接关机断网,不给攻击者以可乘之机。 而要注意的是,如果攻击者的HTTP请求触发成功,页面直接打开时,会导致路由器掉线,这是该后门漏洞的明显特点之一。因此当异常发生时,用户要多多留意。
总结:重视网络安全 注意网络异常
面对网络安全漏洞的层出不穷,再次为我们个人信息在网上的防护敲响了警钟,所以大家更应该重视网络安全的重要性,注意自己网络的异常情况。如果你使用了存在后面漏洞的无线路由器产品,在保持关注设备厂商的固件修复信息更新的同时,应用上述的防护措施,加上灵活多样的展开安全防护方法,来维护自己的网络权益免于侵犯吧。