Tenable
多个型号的家用路由器很可能因为采用相同厂牌固件,而存在同样的漏洞,成为攻击者锁定的目标。例如,在2020年11月由资安媒体CyberNews揭露数款品牌的路由器存在后门漏洞,而有攻击者借此散布僵尸病毒Mirai的情况:这些厂牌包含Walmart独家销售的Jetstream,以及透过Amazon与eBay贩卖的Wavlink。资安研究员发现,上述两个品牌的路由器,都是中国业者Winstars生产,而存在相同的漏洞。
但这种多款路由器产品使用含有漏洞的固件,而存在相同漏洞的情况最近又再度发生。研究人员发现横跨数十个厂牌与ISP、影响数以百万设备的重大漏洞,一旦攻击者滥用,就能绕过网页管理界面的身份验证机制,而掌控路由器来发动攻击,且被揭露不久已出现攻击行动。
在8月3日,弱点管理解决方案业者Tenable公布绕过验证漏洞CVE-2021–20090的细节,此漏洞的CVSS风险层级达9.8分,影响19个厂牌、总共37款路由器设备,而这些设备的共同点,都是采用台湾综合接入设备(IAD)制造商智易科技(Arcadyan)的固件。
智易科技成立于2003年,总部位于新竹科学园区,是仁宝旗下的子公司。该公司是全球综合接入设备的大型制造商,提供宽频网络、无线网络、光纤网络路由器,以及机上盒等产品。
这项漏洞最早被发现的起缘,是Tenable于今年的年初,取得日本一款相当畅销的路由器设备Buffalo WSR-2533进行研究,所找到的其中一项漏洞。但资安研究人员进一步调查发现,还有其他使用智易科技固件的路由器,也存在相同漏洞。Tenable于4月下旬通报智易科技后,智易科技确认相关漏洞,并表明他们与其中一家厂商正在修补中,但不愿向Tenable透露可能受影响的厂商名单。
针对CVE-2021–20090,Tenable于4月26日首度发出资安通告,并于7月20日公布其他受到影响的路由器名单,最后在8月3日发表此漏洞的细节,并提供概念性验证(PoC)攻击手法与影片。
A little video demo from the Buffalo writeup ( https://t.co/ySft5EP299 ) : pic.twitter.com/1ulDi0CyXZ
— evan grant (@stargravy) August 3, 2021
受到此绕过验证漏洞影响的路由器,出现于华硕、Buffalo,以及智易科技的自有品牌,还有多家ISP业者也有存在相同漏洞的路由器机种,如:英国电信、德国电信、Verizon、Vodafone等。
厂牌 | 路由器机种 |
ADB | ADSL wireless IAD router |
Arcadyan | ARV7519 |
Arcadyan | VRV9517 |
Arcadyan | VGV7519 |
Arcadyan | VRV9518 |
ASMAX | BBR-4MG / SMC7908 ADSL |
ASUS | DSL-AC88U (Arc VRV9517) |
ASUS | DSL-AC87VG (Arc VRV9510) |
ASUS | DSL-AC3100 |
ASUS | DSL-AC68VG |
Beeline | Smart Box Flash |
British Telecom | WE410443-SA |
Buffalo | WSR-2533DHPL2 |
Buffalo | WSR-2533DHP3 |
Buffalo | BBR-4HG |
Buffalo | BBR-4MG |
Buffalo | WSR-3200AX4S |
Buffalo | WSR-1166DHP2 |
Buffalo | WXR-5700AX7S |
Deutsche Telekom | Speedport Smart 3 |
HughesNet | HT2000W |
KPN | ExperiaBox V10A (Arcadyan VRV9517) |
KPN | VGV7519 |
O2 | HomeBox 6441 |
Orange | LiveBox Fibra (PRV3399) |
Skinny | Smart Modem (Arcadyan VRV9517) |
SparkNZ | Smart Modem (Arcadyan VRV9517) |
Telecom (Argentina) | Arcadyan VRV9518VAC23-A-OS-AM |
TelMex | PRV33AC |
TelMex | VRV7006 |
Telstra | Smart Modem Gen 2 (LH1000) |
Telus | WiFi Hub (PRV65B444A-S-TS) |
Telus | NH20A |
Verizon | Fios G3100 |
Vodafone | EasyBox 904 |
Vodafone | EasyBox 903 |
Vodafone | EasyBox 802 |
事隔3天,资安业者Juniper于8月6日提出警告,表示攻击者已经锁定CVE-2021–20090漏洞,透过位于中国湖北省武汉市的IP地址,利用程式码(Script)来发动Mirai变种僵尸病毒攻击,其程式码档案的名称,与3月Palo Alto Networks揭露的攻击行动中,所出现的程式码相似。由于两起攻击行动的时间点相当接近,Juniper研判,两起攻击行动很可能是由相同的骇客所为。
针对此起攻击行动,Juniper亦公布攻击来源IP地址、程式码档案的杂凑值等入侵指标(IOC),以供企业侦测是否遭到入侵的迹象。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- 淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
- 哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
- 白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
- 北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步2024-06-28 09:27:13
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15