FKIE發布2020版《家用路由器安全性報告》結果很不樂觀
為了解家用路由器的最新固件中是否存在已知的安全漏洞,德國弗勞恩霍夫通信研究院(FKIE)對來自七個品牌的127款設備進行了檢查,結果讓人很是擔憂。FKIE指出,過去一年裡,有46款家用路由器沒有迎來哪怕一次安全更新,且許多路由器都受到數百個已知漏洞的影響。更糟糕的是,供應商甚至在未修復已知漏洞的情況下發布固件更新。這意味著即時消費者部署了最新固件,他們的路由器仍處於易受攻擊的狀態。
資料圖(來自:ASUS)
FKIE評估發現,華碩(Asus)和網件(Netgear)相對D-Link、Linksys、TP-Link和Zyxel做得更好。
研究中有約90%的路由器在使用Linux操作系統,但製造商並未使用Linux維護人員提供的修復程序來更新OS 。
FKIE 網絡分析與防禦部門科學家Johannes vom Dorp 指出—— Linux 一直在不斷地開發新功能和修復安全漏洞,但廠商還是懶於提供最新的版本。
在最壞的情況下,某些設備已超五年沒有更新過,且許多路由器暗藏了易於被破解的密碼或無法被更改的硬編碼登錄憑證。
德國AVM 是唯一未在其路由器固件中發布私有密鑰的廠商,但Netgear R6800 在路由器中包含了13 把私鑰。
這項研究(PDF)主要從五個維度對路由器製造商的網絡安全方案進行評估,包括上一次固件發布已有多久、路由器運行的OS版本號有多新、漏洞利用的緩解技術有多好、私有密鑰是否可靠、以及是否存在硬編碼的後門登陸賬號。
FIKE 的結論是,與操作系統製造商相比,路由器製造商在安全更新的實施方面,遠遠落後於台式機/ 服務器操作系統的行業標準。
大多數設備都基於Linux OS,每年都有好幾次針對內核與開源軟件的安全補丁,但供應商並未如我們所想的那樣頻繁向其設備分發部署。
其實早在2018 年的時候,美國消費者協會(ACI)就已經發布過一項類似的研究結果,其中分析了來自14 個廠商的186 款SOHO 型Wi-Fi 路由器。
結果在155 個固件樣本中,有83% 都電郵潛在易受攻擊的網絡安全漏洞,且平均每款路由器具有多達172 個漏洞。
ACI 因此批評製造商沒有提供相應的自動更新機制來保障路由器處於最新狀態,通常只有在遭遇了臭名昭著的攻擊事件之後才想到亡羊補牢(比如Mirai IoT 惡意軟件)。
至於漏洞利用的緩解方案,最近發現有79 款Netgear 路由器型號未堵上可被遠程利用的缺陷,甚至未通過地址空間佈局隨機化(ASLR)來降低被攻破的風險。
此外超過1/3 的設備在使用2011年2 月發布的2.3.36 或更早的內核版本,Linksys WRT54GL 甚至運行著2002 年發布的2.4 內核版本(帶有579 個高危CVE 漏洞)。