據(jù)外媒報(bào)道,信息安全研究員皮埃爾·金(Pierre Kim)近期公開(kāi)了D-Link(友訊)DIR 850L消費(fèi)級(jí)無(wú)線路由器的10個(gè)嚴(yán)重漏洞。由于此前與D-Link溝通不暢,他此次沒(méi)有提前告知該公司漏洞的存在。
皮埃爾·金曾于今年2月告知D-Link 9個(gè)漏洞,但D-Link隨后只修復(fù)了其中一個(gè)漏洞。
此次公開(kāi)的零日漏洞涉及多方面問(wèn)題,例如缺乏對(duì)固件鏡像的適當(dāng)保護(hù)機(jī)制,意味著黑客可以向目標(biāo)設(shè)備注入包含后門(mén)的惡意拷貝,以及D-Link私有的mydlink云協(xié)議中的漏洞。皮埃爾·金還發(fā)現(xiàn)了遠(yuǎn)程代碼執(zhí)行漏洞、默認(rèn)密鑰,以及DDoS(分布式拒絕服務(wù)攻擊)風(fēng)險(xiǎn)。其他風(fēng)險(xiǎn)還包括跨站腳本攻擊(XSS)、明文存儲(chǔ)密碼,以及LAN后門(mén)等。
皮埃爾·金總結(jié)道:“D-Link 850L是一款設(shè)計(jì)糟糕的路由器,存在大量漏洞。從LAN到WAN,所有一切都存在問(wèn)題。”
D-Link尚未對(duì)此做出回應(yīng)。目前尚不清楚,D-Link是否承認(rèn)這些漏洞的存在,以及是否打算修復(fù)這些漏洞。
皮埃爾·金在此前與D-Link的溝通中感到不愉快。他表示:“由于此前與D-Link溝通的困難,這次我選擇了完全披露。他們之前沒(méi)有認(rèn)真考慮信息安全問(wèn)題,因此這一次我在沒(méi)有與他們協(xié)調(diào)的情況下公開(kāi)了這項(xiàng)研究。我建議立即斷開(kāi)有漏洞路由器與互聯(lián)網(wǎng)的連接。”