近日,国家信息安全漏洞共享平台CNVD收录了友讯(D-Link)多款路由器产品存在的后门漏洞(收录编号:CNVD-2013-13777)。利用该漏洞,攻击者可以直接获得路由器Web后台管理权限,主要对企业和个人用户构成信息泄露和网络运行安全威胁。具体情况通报如下:
一、 漏洞情况分析
D-Link系列路由器是友讯集团推出的宽带路由器产品。根据漏洞研究者提交的情况,D-LINK部分路由器使用的固件版本中存在一个人为设置的后门漏洞,攻击者通过修改User-Agent值为“xmlset_roodkcableoj28840ybtide”(没有引号)即可绕过路由器Web认证机制取得后台管理权限。取得后台管理权限后攻击者可以通过升级固件的方式植入后门,取得路由器的完全控制权。
二、漏洞影响范围
CNVD对漏洞的综合评级为“高危”。根据目前安全研究者及相关组织的测试结果,受影响的D-LINK路由固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU等。上述固件版本对应的路由器产品在国内外企业和个人用户中应用极为广泛。
CNVD已组织开展对漏洞风险的情况监测。至10月24日,共检测发现到对应有62000多个IP采用D-LINK网络设备产品。根据固件型号匹配,研判受漏洞影响的D-LINK路由器设备共对应12000多个IP,其中位于中国大陆境内的有102个IP。较少一部分IP对应的设备由于自身NAT防护策略不够完善,可通过互联网进行渗透。
三、漏洞处置建议
CNVD于10月22日通过电话和邮件方式联系友讯集团所属友讯电子设备(上海)有限公司,通报漏洞情况,该公司尚未对漏洞信息作出回应。目前,生产厂商尚未发布漏洞补丁。为防范潜在攻击,提出如下应对措施:
(1)请用户排查比对路由器产品固件版本,如受漏洞影响,则及时联系生产厂商,要求提供解决方案;
(2)用户自行测试通过外部网络(互联网)是否可直接访问路由器Web管理界面。如可访问,建议控制外部网络对路由器管理端口的访问权限,或要求厂商加强产品自身的NAT防护策略。
广大用户还需随时关注厂商主页以获取最新版本或补丁信息。