老旧操作系统可能带有许多安全漏洞,促使研究人员计算这些路由器固件镜像文件中的已知Linux重大安全漏洞。这127台设备平均有53个重大风险漏洞,即使表现最好的产品,也有至少21个重大风险或348个高度风险漏洞。高度风险最多的是Linksys WRT54GL,有579个,它使用的Linux核心是所有受测产品中最旧。而合勤的Zyxel NBG6816及Zyxel NBG6815,则并列最多重大风险漏洞的产品,漏洞数各有68个。
研究人员也查看家用路由器产品的固件,是否包含私有密钥可能被黑客访问。结果显示,127台设备中平均泄露的私钥信息为5种,其中Netgear R6800总共公开了13种信息,为所有产品之冠。只有AVM的固件镜像文件不会公开任何密钥信息。
物联网僵尸病毒Mirai利用写死(hard-coded)的登录凭证或密码来入侵许多联网设备,因而成为本研究的另一查看标的。华硕、合勤及友讯在内的6成产品固件镜像文件中,都不包含写死的登录凭证和密码,但仍有50台包含写死的凭证,其中16台还使用广为人知或极易破解的凭证。最不安全的是Netgear RAX40,使用password、amazon作为登录密码。华硕则是唯一在固件镜像文件中,不存储任何写死凭证和密码的厂商。
至于厂商使用了多少保护嵌入式设备的缓解技术,研究显示AVM使用的防护最多,而友讯最少。整体而言,研究人员结论AVM最安全,华硕和Netgear在某些方面表现优于友讯、Linksys、TP-Link及合勤。
这份报告或许也反映近日的路由器安全事件。6月底安全厂商ZDI披露79款Netgear R6700系列路由器含有允许黑客执行任意程序的安全漏洞,Netgear在1月就接获通报,但6个月后仍未完成修补。
责任编辑:tzh
关于嵌入式新闻就介绍完了,您有什么想法可以联系小编。
