資料來源:TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-5365-ec155-1.html

 

德國媒體會同資安專家檢測市售多個廠牌的九種暢銷家用路由器,總共發現多達 226 個資安漏洞,影響裝置數量超過數百萬台之多,用戶應提高警覺並儘速更新。

進行這次測試的是資安廠商 IoT Inspector 與德國資訊科技媒體 CHIP,蒐集市面上十分熱門的家用無線路由器來進行測試,其中也包括數個台灣廠商的產品,其測試機種,與其被發現的資安漏洞個數,分別如下:

參與測試的資安專家指出,CHIP 測試的都是市場上的最新機種,廠商送測時也均更新至最新版本:漏洞最多的 TP-Link 產品有多達 32 個資安漏洞,其中更有 11 個屬於高度危險,其次是 Synology 產品,總漏洞數也高達 30 個之多。漏洞最少的 AVM Fritzbox 7590 AX 也有多達 18 個漏洞。

資安專家指出,這些路由器的漏洞不全是危險等級的漏洞,會存有這麼多漏洞的主要原因歸納如下:

  • 韌體採用的 Linux 作業系統版本太過老舊;
  • 多媒體與 VPN 功能使用的程式碼太過老舊;
  • 採用的 BusyBox 程式版本太舊;
  • 使用容易遭到破解的管理者密碼;
  • 在韌體程式碼中以明文寫入登入資訊。

建議採取資安強化措施

1、鑑於各廠牌家用路由器經常被資安專家找到多個漏洞,建議所有家中裝有寬頻網路服務的用戶,都應開啟路由器的自動更新功能、更改預設管理者密碼,且如果沒有使用 UPnP 或 WPS 功能,都應將之關閉,以強化路由器的安全防護設定。

2、Asus 近期已針對多款路由器產品(GT-AXE11000, GT-AX11000, GT-AX2900, TUF-AX3000, RT-AX92U,RT-AX88U, RT-AX86U, RT-AX68U, RT-AX58U, RT-AX56U, RT-AX55, RT-AC88U, RT-AC3100, RT-AC86U, RT-AC2900, RT-AC1750_B1, RT-AC1900, RT-AC1900P, RT-AC1900U, RT-AC66U_B1, RT-AC68P, RT-AC68R, RT-AC68RF, RT-AC68RW, RT-AC68U, RT-AC68W, ZenWiFi AX, ZenWIFi AC, ZenWiFi AC mini, ZenWiFi AX mini)進行例行性韌體更新,敬請用戶參考華碩官方網站 ASUS Product Security Advisory 之說明並進行韌體下載與更新,以達到最佳的安全防護。

3、D-Link 已公布 DIR-X5460 產品之相關訊息,請相關用戶盡速進行更新。後續也要請相關用戶定期進行更新並維持最新版本,以保持產品的使用安全。

4、Synology 針對近期路由器安全性報導,聲明 SRM 路由器作業系統無重大安全性問題