近日,安全研究人员对市场上主流的6款热门路由器进行测试,报告显示,即使将固件版本更新至最新,还是发现了226个漏洞。本次测试的路由器品牌包括Asus、AVM、D-Link、Netgear、Edimax、TP-Link、Synology和Linksys。
IoT Inspector的研究人员与CHIP杂志合作进行了安全测试,重点是主要由小公司和家庭用户使用的型号。就漏洞数量而言,排在前列的是TP-Link Archer AX6000,有32个漏洞以及Synology RT-2600ac,有30个安全漏洞。
IoT Inspector的首席技术官兼创始人Florian Lukavsky表示:“评测之前,我们已经将这些主流路由器的版本升至最新。”IoT Inspector自动分析了这些固件版本,并检查了5000多个CVE和其他安全问题。他们的发现表明,许多路由器仍然容易受到公开披露的漏洞的影响,即使使用最新的固件,如下表所示:。
另外,该团队发现了一些影响大多数测试机型的常见问题:固件使用过时的Linux内核、过时的多媒体和虚拟网络功能、过度依赖旧版本的BusyBox、使用弱的默认密码,如“admin”、以纯文本形式存在的硬编码凭证。
IoT Inspector的首席执行官Jan Wendenburg指出,确保路由器安全的最重要方法之一是在首次配置设备时更改默认密码。
利用该密钥,威胁者可以发送恶意的固件图像更新,以通过设备上的验证检查,有可能在路由器上植入恶意软件。这种问题可以通过全盘加密来解决,这种加密可以保证本地存储的图像的安全,但这种做法并不常见。