當(dāng)前位置:首頁 > 芯聞號(hào) > 充電吧
[導(dǎo)讀]美國(guó)網(wǎng)件 (NETGEAR)為全球商用企業(yè)用戶和家庭個(gè)人用戶提供創(chuàng)新的產(chǎn)品、優(yōu)質(zhì)的智能家庭無線解決方案。產(chǎn)品行銷全球 20 余年,專注無線,堅(jiān)守初心,推出無數(shù)時(shí)代先鋒型的杰作,在歐美乃至亞太地區(qū)擁有令

美國(guó)網(wǎng)件 (NETGEAR)為全球商用企業(yè)用戶和家庭個(gè)人用戶提供創(chuàng)新的產(chǎn)品、優(yōu)質(zhì)的智能家庭無線解決方案。產(chǎn)品行銷全球 20 余年,專注無線,堅(jiān)守初心,推出無數(shù)時(shí)代先鋒型的杰作,在歐美乃至亞太地區(qū)擁有令人矚目的市場(chǎng)份額和消費(fèi)者口碑。然而根據(jù) 7 月份安全漏洞調(diào)查顯示,NETGEAR 多達(dá) 79 款路由器存在大量安全漏洞。

以下是漏洞詳情:

httpd 服務(wù)漏洞

該漏洞存在于 Netgear 路由器的 httpd 服務(wù)中,問題出在把用戶輸入的資料復(fù)制到僅能容納固定長(zhǎng)度的緩沖區(qū)前,未能正確驗(yàn)證資料長(zhǎng)度,造成緩沖區(qū)溢出,而讓黑客得以執(zhí)行任意程序,從而接管設(shè)備。

早在今年 1 月 , 安全研究人員發(fā)現(xiàn)有 79 款的 Netgear 路由器都含有同一個(gè)允許黑客執(zhí)行任意程序的安全漏洞并上報(bào)給 Netgear。然而,更令人驚訝的是 Netgear 截至 6 月 15 日才發(fā)布安全更新,修復(fù)此問題。具體受影響的設(shè)備和固件,可參見 github 網(wǎng)址:https://github.com/grimm-co/NotQuite0DayFriday/blob/master/2020.06.15-netgear/exploit.py

除了官方安全更新,用戶也可通過防火墻或白名單功能,規(guī)定只有受信賴的設(shè)備才能訪問 httpd 服務(wù)來緩解

超危漏洞 PSV-2019-0076

該漏洞影響運(yùn)行 1.0.2.68 之前版本固件的旗艦路由器 Netgear Wireless AC Router Nighthawk(R7800),未經(jīng)身份認(rèn)證的攻擊者可利用該漏洞控制路由器。

事實(shí)上,該漏洞自 2016 年就已存在,直到現(xiàn)在,Netgear 沒有提供關(guān)于該漏洞的更多詳情,只是敦促消費(fèi)者盡快訪問其在線支持頁面下載漏洞補(bǔ)丁。

此外,Netgear R7800 作為 Netgear 2016 年年初發(fā)布的一款四天線年度超高性能旗艦級(jí)路由器,年度品牌熱銷榜第 7 名。需要注意的是,運(yùn)行過時(shí)的固件,Netgear R7800 也不再安全,強(qiáng)烈建議盡快更新固件,來增強(qiáng)安全性。

高危命令注入漏洞 PSV-2018-0352

PSV-2018-0352 漏洞影響運(yùn)行 1.0.2.60 之前版本固件的 Nighthawk(R7800)旗艦路由器,以及 Netgear D6000,R6000,R7000,R8000,R9000 和 XR500 系列的 29 款路由器中。

高危命令注入漏洞 PSV-2019-0051

該漏洞主要影響運(yùn)行過時(shí)固件 R6400,R6700,R6900 和 R7900 系列的 5 款路由器,升級(jí)最新固件可修復(fù)。

管理憑據(jù)漏洞 CVE-2017-18844

NETGEAR R6700v2 1.1.0.38 之前版本、R6800 1.1.0.38 之前版本和 D7000 1.0.1.50 之前版本中存在安全漏洞。攻擊者可利用該漏洞獲取管理憑證。

不容忽視的型號(hào)是 Netgear R6800,其固件中嵌入了多達(dá) 13 個(gè)硬編碼的私有安全密鑰。私鑰是管理 Internet 安全性機(jī)制的關(guān)鍵部分,路由器將使用私鑰來發(fā)起安全傳輸并驗(yàn)證固件更新。但是如果可以在路由器的固件中找到密鑰,這意味著任何攻擊者都可以冒充該設(shè)備并進(jìn)行間接攻擊 , 這些密鑰與相同型號(hào)的所有設(shè)備共享,在固件中發(fā)布的一個(gè)私鑰會(huì)使成千上萬的設(shè)備處于危險(xiǎn)之中。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:https://kb.netgear.com/000049015/Security-Advisory-for-an-Admin-Credential-Disclosure-on-Some-Routers-PSV-2017-2149

TLS 證書泄露漏洞 PSV-2020-0105

該漏洞導(dǎo)致路由器上的 TLS 證書私鑰被暴露給公眾。這些私鑰可用于攔截和篡改安全連接(間接攻擊),從本質(zhì)上講,任何受感染的路由器都可以被劫持。此外,這些密鑰可以從 Netgear 的支持網(wǎng)站上下載,竟然無需任何身份驗(yàn)證措施即可下載。

受影響的型號(hào)包括 R8900,R9000,RAX120 和 XR700 無線路由器。NETGEAR 已發(fā)布針對(duì)受影響產(chǎn)品型號(hào)的固件修補(bǔ)程序,同時(shí)強(qiáng)烈建議盡快下載最新固件修補(bǔ)程序來保證安全。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉