首页 > 动态 > 关键词 > 云安全最新资讯 > 正文

知名路由器公司Netgear 79款路由器惊现大量安全漏洞,设备可被劫持!

2020-07-13 14:13 · 稿源:TechWeb.com.cn

美国网件(NETGEAR)为全球商用企业用户和家庭个人用户提供创新的产品、优质的智能家庭无线解决方案。 产品行销全球20余年,专注无线,坚守初心,推出无数时代先锋型的杰作,在欧美乃至亚太地区拥有令人瞩目的市场份额和消费者口碑。然而根据7月份安全漏洞调查显示,NETGEAR多达79款路由器存在大量安全漏洞。以下是漏洞详情:

httpd服务漏洞

该漏洞存在于Netgear路由器的httpd服务中,问题出在把用户输入的资料复制到仅能容纳固定长度的缓冲区前,未能正确验证资料长度,造成缓冲区溢出,而让黑客得以执行任意程序,从而接管设备。

早在今年1月,安全研究人员发现有79款的Netgear路由器都含有同一个允许黑客执行任意程序的安全漏洞并上报给Netgear。然而,更令人惊讶的是Netgear截至6月15日才发布安全更新,修复此问题。具体受影响的设备和固件,可参见github网址:https://github.com/grimm-co/NotQuite0DayFriday/blob/master/2020.06.15-netgear/exploit.py

除了官方安全更新,用户也可通过防火墙或白名单功能,规定只有受信赖的设备才能访问httpd服务来缓解

超危漏洞PSV-2019-0076

该漏洞影响运行1.0.2.68之前版本固件的旗舰路由器Netgear Wireless AC Router Nighthawk(R7800),未经身份认证的攻击者可利用该漏洞控制路由器。

事实上,该漏洞自2016年就已存在,直到现在,Netgear没有提供关于该漏洞的更多详情,只是敦促消费者尽快访问其在线支持页面下载漏洞补丁。

此外,Netgear R7800 作为Netgear 2016年年初发布的一款四天线年度超高性能旗舰级路由器,年度品牌热销榜第7名。需要注意的是,运行过时的固件,Netgear R7800 也不再安全,强烈建议尽快更新固件,来增强安全性。

高危命令注入漏洞PSV-2018-0352

PSV-2018-0352漏洞影响运行1.0.2.60之前版本固件的Nighthawk(R7800)旗舰路由器,以及Netgear D6000,R6000,R7000,R8000,R9000和XR500系列的29款路由器中。

高危命令注入漏洞(PSV-2019-0051)

该漏洞主要影响运行过时固件R6400,R6700,R6900和R7900系列的5款路由器,升级最新固件可修复。

管理凭据漏洞CVE-2017-18844

NETGEAR R6700v2 1.1.0.38之前版本、R6800 1.1.0.38之前版本和D7000 1.0.1.50之前版本中存在安全漏洞。攻击者可利用该漏洞获取管理凭证。

不容忽视的型号是Netgear R6800,其固件中嵌入了多达13个硬编码的私有安全密钥。私钥是管理Internet安全性机制的关键部分,路由器将使用私钥来发起安全传输并验证固件更新。但是如果可以在路由器的固件中找到密钥,这意味着任何攻击者都可以冒充该设备并进行间接攻击,这些密钥与相同型号的所有设备共享,在固件中发布的一个私钥会使成千上万的设备处于危险之中。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://kb.netgear.com/000049015/Security-Advisory-for-an-Admin-Credential-Disclosure-on-Some-Routers-PSV-2017-2149

TLS证书泄露漏洞PSV-2020-0105

该漏洞导致路由器上的TLS证书私钥被暴露给公众。这些私钥可用于拦截和篡改安全连接(间接攻击),从本质上讲,任何受感染的路由器都可以被劫持。此外,这些密钥可以从Netgear的支持网站上下载,竟然无需任何身份验证措施即可下载。

受影响的型号包括R8900,R9000,RAX120和XR700无线路由器。NETGEAR已发布针对受影响产品型号的固件修补程序,同时强烈建议尽快下载最新固件修补程序来保证安全。

  • 相关推荐
  • 大家在看
  • 云安全提醒:火狐浏览器爆出大量安全漏洞,赶紧更新!

    美国Mozilla是一个以创作Firefox网页浏览器而闻名的自由软件社区。Mozilla社区开发、推广和支持Mozilla相关项目,致力于推动自由软件与开放标准的发展。Mozilla Firefox(火狐浏览器)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始,每年都被媒体选为年度最佳浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延升支持版本,适用于企业或者工作单位,又称Firefox企业版。它具有体?

  • 云安全提醒: Roundcube爆出多个漏洞,可窃取信息 接管邮箱账户

    Roundcube是一款被广泛使用的开源的Web电子邮件程序,在全球范围内有很多组织和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基于Web浏览器的可换肤IMAP客户端,并提供多种语言。功能包括MIME支持,通讯簿,文件夹和邮件搜索功能。Roundcube支持各种邮件协议,如IMAPS、POP3S 或者 submission,可以管理多个邮箱账号.不过,7月21日,Roundcube发布了有关跨站点脚本漏洞(代号CVE-2020-15562)的通报,该通报是Roundcube稳定

  • 思科发布5个高危安全补丁,RV系列路由器赶紧升级!

    思科(Cisco)于7月17日发布了安全公告,修复了5个影响RV系列VPN路由器和防火墙的高危安全漏洞。以下是漏洞详情:1.防火墙静态默认证书漏洞(CVE-2020-3330)思科小型企业RV110W Wireless-N VPN防火墙路由器的Telnet服务中的漏洞可能允许未经身份验证的远程攻击者完全控制具有高特权帐户的设备。存在此漏洞是因为系统帐户具有默认和静态密码。攻击者可以通过使用此默认帐户连接到受影响的系统来利用此漏洞。成功的利用可能使攻击者获?

  • WiFi6提升究竟有多大?路由器手机电视全都用

    随着家居环境里的电子设备越来越智能化,需要联网的终端设备越来越多,用户对家里的网络环境有了更高的需求,而各大网络运营商在宽带速率方面也下足了功夫,下行速率从100M一路升级到1000M,甚至更高。虽然速率得到了大幅度提升,但依旧有很多人频频吐槽WiFi网络的卡顿和延迟问题。以上问题与WiFi无线网络技术标准也有着很大关系,在目前众多路由器和终端设备中,绝大多数都以WiFi 5为主。WiFi 5采用的是OFDM技术,路由器每次只能?

  • SpaceX“星链路由器”获美国联邦通信委员会批准

    【TechWeb】7月16日消息,据国外媒体报道,美国联邦通信委员会(FCC)批准了美国太空探索技术公司SpaceX的“星链(Starlink)路由器”。据外媒报道,SpaceX向FCC提交的文件披露了SpaceX的卫星宽带业务“星链”使用的WiFi路由器计划。据悉,这款路由器将把一个外部卫星天线或终端连接到屋内的任何电脑或电话上。此外,这些文件还透露了这款路由器的尺寸和形状。据悉,这款路由器将是三角形。从底座上的标识看,这款三角形路由器的?

  • wifi6路由器新势力 “wifi6+技术”为生活加速

    wifi6路由器和5G是2020年两个非常有热度的科技名词,wifi6路由器也承载着新时代人们对于网络的期待。最近荣耀路由系列推出了旗下首款wifi6路由器,这款除了具备wifi6标准协议之外,还以此为基础做了升级成为wifi6+路由器,可以说是一股强劲的新势力。荣耀路由3的外观仍采用了路由器市场的经典设计,这与上一代的荣耀路由2完全不同。放弃了正方体的矮萌身材,选择了更为纤薄的方形身材。4根扁平状的长条折叠天线,扁而宽的机身与10?

  • 360发布全新Wi-Fi 6路由器:再厚的墙也无视

    7月8日,360联合中国移动,发布了全新款Wi-Fi 6标准高速路由器“T6G”,符合AX1800规格,并搭载众多黑科技,完美匹配未来宽带升级和智能家庭。360 T6G路由器采用1024QAM调制方式,进

  • 中兴通讯在南非推出首款5G室内路由器MC801A

    近日,中兴通讯与非洲最大的跨国电信运营商MTN合作,在南非发布了中兴首款5G室内路由器MC801A。中兴5G室内路由器MC801A支持NSA和SA双模5G网络,兼容4G和5G主流频段。MC801A支持最新的Wi-Fi 6技术,允许多个用户同时访问5G网络,其采用Smart ANT智能天线算法技术,能够独立选择更好的5G信号。在南非5G网络覆盖的地区,用户可以通过普通的4G智能终端和Wi-Fi终端提前享受高速5G网络和丰富的5G服务,包括通过VR、AR和3D技术提供的沉浸式流媒体?

  • NEC爆出大量安全漏洞,或将影响所有中小企业及政府!

    日本NEC是全球IT、通信网络的领先供应商之一,也是全球500强企业之一。NEC主要从事IT服务、平台业务、运营商网络、社会基础设施、个人解决方案等产品的研发、集群软件、生产和销售,产品多达15000多种.NEC在全球150多个国家和地区开展业务,融合先进的信息技术和网络技术,向政府、企业及个人提供卓越的综合解决方案。不过7月30日,NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响

  • OPPO加入云安全联盟,在安全领域又一次创造里程碑式发展

    日前,OPPO正式宣布加入云安全联盟(英文简称:CSA)并成为企业会员。作为技术创新的科技公司,加入云安全联盟是OPPO在安全领域的又一次里程碑式发展。 OPPO始终践行维护用户利益,服务全球3. 5 亿用户 目前,OPPO在全球范围拥有超过 4 万名员工,共有九大智能制造中心、六大研究所、四大研发中心,并在伦敦设有全球设计中心。OPPO的业务范围涵盖 40 多个国家和地区,拥有超过 40 万个销售网点,全球月活跃设备用户超过3. 5 亿。 20

  • 威联通发布QHora-301W路由器,助力中小企业轻松部署SD-WAN网络

    2020年7月,QNAP威联通科技即将发布全新的QHora-301W路由器,内置QuWAN企业级网络优化解决方案,提供免费订阅的SD-WAN服务,支持自动组建IPsec VPN加密网络及云端集中管理,适应企业数字化转型,可助力中小企业打造灵活、快捷、安全、可靠的全新IT架构。威联通QHora-301W SD-WAN路由器搭载Qualcomm IPQ8072A Hawkeye v2处理器,1GB RAM,4GB eMMC,机身配置2个万兆网口、4个千兆网口,可灵活配置多WAN口并整合多个外网接入。QHora?

  • 中兴通讯与电信运营商MTN合作 在南非推出首款5G无线路由器

    【TechWeb】7月14日消息,据国外媒体报道,深交所上市公司中兴通讯(ZTE)与电信运营商MTN合作,在南非推出其首款5G无线路由器MC801A。中兴通讯表示,其5G无线路由器支持最新的 Wi-Fi 6接入技术,允许多个用户同时接入5G网络。外媒报道称,MC801A同时支持NSA和SA 5G网络,兼容4G和5G主流标准,可使消费者享受超高速5G网络的优势和丰富的5G服务和优势,如更少的拥塞、更少的视频缓冲、持续的高清视频流,以及更一致的连接。中兴通?

  • 小米路由器AX3600获深圳消委会卓越评价:卢伟冰、雷军点赞

    7月10日,深圳市消委会公布了2020年路由器比较试验报告,此次共比较了10款样品,涉及品牌有:小米、普联、华为、领势、网件、华硕、水星、腾达、360、友讯。其中,小米路由器AX3600获得&ldquo

  • 深圳市消费者委员会测试 WiFi6路由器五星评价仅小米、华硕上榜

    据深圳市消费者委员会官方网站报道, 深圳市消费者委员会发布了《2020年路由器比较试验报告》 。在总计10款不同品牌的路由器产品中,华硕、小米、水星3款样品在本次比较试验中获评五星。三款“五星”路由器样品中有两款为支持WiFi6网络的路由器,分别为华硕AX3000和小米AIoT路由器AX3600。深圳市消费者委官网信息显示,本次比较试验由深圳市(区)消费者委员会和澳门特别行政区政府消费者委员会联合开展,样品?

  • 过去一年,微软为安全漏洞奖励支出1370万美元

    微软透露,自去年 7 月以来,它已向安全研究人员奖励了 1370 万美元,用于鼓励提交微软软件漏洞的行为。

  • 巨头公司Microsoft,SAP,Adobe和Google“扎堆”发布针对安全漏洞更新

    众所周知,对于安全研究员来说,每个月的第二个星期二是微软(Microsoft )“补丁星期二”。这次也毫无例外,微软公司当天发布了针对其产品中的安全漏洞的补丁。不过比较戏剧性的是,这次是“聚会”,因为SAP ,Adobe 和Google 同一天也都针对自身产品发布了安全更新。Microsoft早在今年5月份,安全研究人员发现了Windows DNS的一个严重安全漏洞并上报给微软。微软已确认此漏洞,于7月14日发布了安全漏洞更新.此漏洞代号为"Si

  • 科技独角兽Dave承认出现安全漏洞 750万用户受影响

    继黑客在一个公共论坛上公布了 7516625 名用户的信息后,数字银行应用和科技独角兽Dave.com今天证实存在安全漏洞。

  • 打破神话的代币经济与一些常见的思维漏洞

    “在这篇文章中,我将对与代币经济相关的一些概念进行解释,欢迎大家阅读本文。——币安首席执行官赵长鹏(CZ)每天,我都看到人们对代币经济基础概念的各种思维漏洞。我知道,关于金融、关于货币供给系统如何运作等知识,学校教科书内容涉及的介绍篇幅有限。我也知道,加密资产是新兴行业,有些知识是需要我们所有人都去学习的。在这篇文章中,我将解释一些概念,请轻松浏览本文。这些都是我本人的观点,观点可能有失偏颇。我推荐大

  • 黑客发现新漏洞:可用于iOS 13.6越狱

    据外媒最新报道称,已经有开发者给出消息称,有用于iOS 13.6正式版的漏洞了(efp0),不过目前相应的越狱工具还在初始阶段。需要指出的是,针对 tfp0 漏洞利用的开发仍处于早期阶段,且目前尚

  • 净水器哪个牌子好 有针对性的选择净水器

    水污染严重的今天,净水器已经成为居家必备了。但是净水器市场那么多的净水器品牌,很容易导致净水器行业混乱,一般山寨小品牌几乎混不了几年就会倒闭,而我们买净水器回去是为了能长久使用的,所以为了之后售后服务方面的问题,也为了产品质量本身。我们应该选择大品牌来购买。不过现在因为全国各地水质污染程度都不一样,有些地方水质环境相对没那么差,但是有些地方水质可以说真的是很差了,这样针对不同地区,在净水器的选择上

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文