明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線(xiàn)學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

華碩RT系列無(wú)線(xiàn)路由器存在漏洞,也許遭受中間人攻擊

發(fā)表時(shí)間:2023-08-01 來(lái)源:明輝站整理相關(guān)軟件相關(guān)文章人氣:

[摘要]美國(guó)安全研究人員發(fā)現(xiàn),華碩RT無(wú)線(xiàn)路由器的下載和更新服務(wù)是通過(guò)未加密的HTTP協(xié)議進(jìn)行的,進(jìn)而可能會(huì)遭到中間人攻擊。安全研究人員Longenecker在其博客中指出,華碩RT系列路由器只根據(jù)比較簡(jiǎn)單...

美國(guó)安全研究人員發(fā)現(xiàn),華碩RT無(wú)線(xiàn)路由器的下載和更新服務(wù)是通過(guò)未加密的HTTP協(xié)議進(jìn)行的,進(jìn)而可能會(huì)遭到中間人攻擊。

安全研究人員Longenecker在其博客中指出,華碩RT系列路由器只根據(jù)比較簡(jiǎn)單的操作進(jìn)程來(lái)決定是否進(jìn)行更新或檢索必要的更新文件。整個(gè)過(guò) 程是簡(jiǎn)單而模糊,安全性比較低。另外這些路由器都是通過(guò)HTTP而不是HTTPS下載的,所以很難證實(shí)終端服務(wù)器是否來(lái)自華碩官方。

華碩RT路由器更新步驟

華碩RT系列路由器的更新只有兩個(gè)簡(jiǎn)單的步驟:

1,一個(gè)包含最新固件設(shè)備的明文文件列表 2,下載一個(gè)路由器固件安裝包

步驟解釋?zhuān)?/strong>首先需要一個(gè)包含最新固件設(shè)備的明文文件列表。然后路由器會(huì)通過(guò)對(duì)下載文件的解析來(lái)檢查是否需要進(jìn)行固件更新,如果確定需要更新,那么路由器就會(huì)自動(dòng)進(jìn)入下一個(gè)步驟 – 下載路由器固件安裝包。

現(xiàn)在的問(wèn)題是攻擊者可以隨意的篡改列表和固件,鎖定受害者后劫持會(huì)話(huà)或攔截流經(jīng)路由器的流量。

攻擊者可以利用的腳本很多,而這些可以利用的腳本都是由于簡(jiǎn)單的HTTP連接造成的。這是一個(gè)低級(jí)的錯(cuò)誤,因?yàn)樗刑峁┕碳碌逆溄佣紤?yīng)使用HTTPS協(xié)議。

華碩RT系列無(wú)線(xiàn)路由器存在漏洞,可能遭受中間人攻擊1

受影響的版本

易受上述攻擊影響的華碩路由器版本有: RT-AC68U, RT-AC68U, RT-AC66R,RT-AC66U, RT-AC56R, RT-AC56U, RT-N66R, RT-N66U, RT-N56R 和RT-N56U。另外,據(jù)懷疑RT-N53, RT-N14U, RT-N16 和RT-N16R型號(hào)也存在相同的漏洞。

華碩官方對(duì)此漏洞給予了及時(shí)的處理。為了安全起見(jiàn),華碩官方建議用戶(hù)直接從華碩官網(wǎng)上下載更新。

[參考信息來(lái)源http://www.hotforsecurity.com/blog/asus-wireless-routers-rt-series-vulnerable-to-man-in-the-middle-attacks-10702.html,轉(zhuǎn)載請(qǐng)注明來(lái)自Freebuf.COM]


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識(shí),學(xué)習(xí)了安全知識(shí),幾乎可以讓你免費(fèi)電腦中毒的煩擾。