小心你的路由被入侵 TP-Link曝后門漏洞
網絡安全問題常常被我們所忽視,可是現實中由于網絡安全漏洞而引發的隱私、密碼等泄露事件卻頻頻發生,不得不為網民敲響警鐘。而其中的無線路由器安全問題,則更是牽動每個家庭用戶甚至是企業級用戶安全上網的神經。近日波蘭的網絡安全專家就發現了TP-Link的部分路由器存在后門漏洞的問題,而利用漏洞,攻擊者可以完全控制你的無線路由器,并可對用戶的信息構成較為嚴重的威脅。那么快來了解下這個漏洞是否存在于你使用的無線路由器中,看看是否有什么好方法來防止被黑客攻擊吧。
TP-Link路由器驚陷“漏洞門”
首先,波蘭網絡安全專家Sajdak發現TP-Link TL-WDR4300和TL-WR743ND (v1.2 v2.0)無線路由器涉及到http/tftp的后門漏洞,隨后又發現TL-WR941N和其他型號也可能受到影響。
國家信息安全漏洞共享平臺CNVD收錄TP-Link路由器存在后門漏洞
我國的國家信息安全漏洞共享平臺CNVD現在也收錄了TP-Link路由器存在有這個后門漏洞(收錄編號:CNVD-2013-20783)。而在新浪微博上的多地公安局官方微博都向廣大網民提出了漏洞警示。
多地公安局官方微博都向廣大網民提出了漏洞警示
那么這個后門漏洞到底有什么危害呢?
專家稱,當攻擊者利用瀏覽器來訪問一個無需授權認證的特定功能頁面后,如發送HTTP請求到start_art.html,攻擊者就可以引導路由器自動從攻擊者控制的TFTP服務器下載一個nart.out文件,并以root權限運行。而一旦攻擊者以root身份運行成功后,便可以控制該無線路由器了。
攻擊者利用后門漏洞進行控制路由器的四步圖示
當你的無線路由器被控制后,攻擊者就會有機會獲取你的網絡活動信息,包括網上銀行,通訊記錄,甚至郵箱賬號密碼等等個人信息。而且現在TP- Link品牌在無線路由器的市場份額不容忽視,據市場調研機構IDC發布的最新數據表明,2012年第三季度全球無線網絡市場占有率排名中,TP- Link以36.65%的市場占有率排在第一位。那么可想而知,一旦TP-Link的無線路由器有了后門漏洞,其波及面將有多大。
TP-Link已承認存漏洞 正制定新固件
波蘭網絡安全專家在今天2月份發現并通知了TP-Link,但直到一個月后向外界媒體公布該后面漏洞的存在時,才引起了TP-Link的重視,并確定該安全失誤。
援引TP-Link公司人員的微博發言稱,“這個頁面是N年前供生產過程做WiFi校對所用,為了方便,一直沒有加上認證。我們必須承認這是一個低級錯誤。”
下面為大家展示一些利用該漏洞進行攻擊的代碼。
首先利用Wireshark過濾功能來顯示路由器的TFTP流量,發送nart.out TFTP請求,然后用burpsuite修改上傳路徑。
用Wireshark過濾功能顯示路由器的TFTP流量(圖片來自sekurak.pl)
nart.out TFTP請求(圖片來自sekurak.pl)
有漏洞的路由器將通過USB在FTP上分享文件。
有漏洞的路由器將通過USB在FTP上分享文件(圖片來自sekurak.pl)
用burpsuite修改上傳路徑(圖片來自sekurak.pl)
通過查找/tmp目錄,發現/tmp/samba/smb.conf,這個文件是有寫權限的。
通過查找/tmp目錄,發現/tmp/samba/smb.conf(圖片來自sekurak.pl)
修改smb.conf 文件,執行剛才上傳的/tmp/szel文件,這個路徑就是剛才burpsuite抓包修改的。
修改smb.conf,執行上傳的/tmp/szel,這個路徑就是剛才抓包修改的(圖片來自sekurak.pl)
在httpd模塊中,發現對start_art.html進行處理的源代碼。
在httpd模塊中,發現對start_art.html進行處理的源代碼(圖片來自sekurak.pl)
所以當訪問start_art.html時,就會從主機(192.168.1.100)拷貝nart.out到路由器,并且chmod777再執行。
訪問start_art.html時,拷貝nart.out到路由器成功。(圖片來自sekurak.pl)
那么有后門漏洞的路由器如何防止被黑客攻擊呢?
如何防止被黑客攻擊
鑒于目前TP-Link尚未提供有效的固件更新方案來修復此漏洞,所以只能利用該后門漏洞的特點展開防護。
由于這個后門漏洞是通過訪問路由器的特定頁面來進行攻擊,因此用戶應急的好方法就是要阻止攻擊者訪問到該路由器。
利用這個特點,在外網防護上,用戶可以關閉TP-Link的WAN遠程管理端口,例如將WAN口遠端管理IP設置為0.0.0.0,或者可信任的IP。
將WAN口遠端管理IP設置為0.0.0.0,或者可信任的IP(如圖中紅框內所示)
在局域網防護上,用戶可以設置MAC地址訪問限制功能。在LAN口設置中,只允許可信任的MAC地址訪問管理界面。
進行MAC地址訪問限制
當用戶不在家的時候,直接關機斷網,不給攻擊者以可乘之機。 而要注意的是,如果攻擊者的HTTP請求觸發成功,頁面直接打開時,會導致路由器掉線,這是該后門漏洞的明顯特點之一。因此當異常發生時,用戶要多多留意。
總結:重視網絡安全 注意網絡異常
面對網絡安全漏洞的層出不窮,再次為我們個人信息在網上的防護敲響了警鐘,所以大家更應該重視網絡安全的重要性,注意自己網絡的異常情況。如果你使用了存在后面漏洞的無線路由器產品,在保持關注設備廠商的固件修復信息更新的同時,應用上述的防護措施,加上靈活多樣的展開安全防護方法,來維護自己的網絡權益免于侵犯吧。
