安全研究人員近日發現，成千上萬臺TP-Link路由器存在嚴重漏洞，可被威脅行為者用于遠程劫持攻擊。盡管早就收到了風險曝光，但TP-Link公司花了一年多的時間才在其網站上發布了修復補丁。

[[266377]]

遠程劫持風險

據了解，該漏洞(CVE-2017-13772)允許任何攻擊者通過遠程操作輕松獲得對受影響路由器的完全訪問權限，并不需要多高端的黑客技術。原因在于該漏洞依賴路由器的默認密碼來工作，而許多用戶對路由器設備的出廠默認密碼從未修改過。

在最糟糕的情況下，威脅行為者可以大規模針對這些易損路由器設備進行攻擊，使用類似Mirai這樣的僵尸網絡的機制——“地毯式”搜索無線路由網絡，并使用“admin”和“pass”等默認密碼來劫持路由器。

TP-Link遲遲未修復漏洞

英國網絡安全公司Fidus Information Security的創始人Andrew Mabbitt ，早在2017年10月就首次發現并披露了針對TP-Link路由器的遠程代碼執行漏洞。幾周后，TP-Link為易受攻擊的WR940N路由器發布了一個修補程序。Mabbitt在2018年1月再次提醒TP-Link公司，其另一型號的WR740N路由器也容易受到同樣的漏洞利用攻擊，因為該公司在這兩種型號的路由器上重復使用了易受攻擊的代碼。

TP-Link當時表示，針對這兩種型號的路由器的漏洞很快就被修補了。但是當研究人員仔細檢查時，該公司網站上沒有發布針對WR740N的修復固件。當被問到時，TP-Link的發言人表示，該修復固件“目前可在技術支持部門要求時提供”，但沒有解釋為何沒有公開發布的原因。在近日媒體曝光后，TP-Link才更新了其官網固件下載頁面，其中包含最新的安全更新。距離第一次收到提醒，已長達兩年之久。

Mabbitt認為TP-Link公司有責任主動提醒客戶并提供安全更新，而非被動等待用戶聯系以獲得技術支持。

路由器安全問題堪憂

路由器長期以來因安全問題而臭名昭著，任何存在漏洞的路由器都可能會對其連接的所有設備產生災難性影響。Mabbitt說，通過獲得對路由器的完全控制，攻擊者可能會對整個網絡造成嚴重破壞。攻擊者修改路由器上的設置會影響連接到同一網絡的所有設備，例如更改DNS設置以誘騙用戶訪問虛假頁面以竊取其登錄憑據。

TP-Link公司拒絕透露它已銷售了多少易受潛在攻擊的路由器，但表示WR740N型號在2017年前已經停產。當研究人員在Shodan和Binary Edge(檢測暴露設備和數據庫的搜索引擎)上搜索時，發現了約129,000到149,000臺設備，盡管易受攻擊設備的數量可能要低得多。

無論在英國和美國(加利福尼亞州)都規定出售這些電子設備的公司需要預先設置唯一默認密碼，防止僵尸網絡大規模劫持互聯網連接的設備，并以此使網站離線，無法正常運營。此前，Mirai僵尸網絡就曾攻擊了域名服務提供商Dyn，在幾個小時內離線了其數十個主要網站，包括Twitter、Spotify和SoundCloud。

路由器劫持危機

信息竊取

攻擊者遠程對用戶的路由器劫持和監控，甚至可以將該路由器的固件改造成其自制的版本，從而完全接管聯網的設備。用戶通過該設備上網，有可能跳轉到攻擊者提前設置好的釣魚網站，個人隱私、社交網絡賬號和網銀信息等都有被竊取的風險。

黑產作祟

攻擊者大肆篡改、劫持用戶路由器的DNS地址，其背后廣告商也在推波助瀾，一條完整的黑色產業鏈已經形成。這種劫持廣告甚至能根據用戶瀏覽的頁面內容，定向展示關聯廣告。如一位患者在百度上搜人流、醫院這些關鍵詞，在搜索的結果頁面中，就能直接彈出指定醫院的廣告，鏈接該院首頁。廣告利益的驅動使路由器劫持已經形成一條從黑客——投放平臺——廣告商的完整產業鏈。

生產商預先設置后門

生廠商自己留有后門程序，以便日后檢測、調試需要，但是管理權限易被黑客劫持。目前路由器廠家的主流產品，可能留有一個超級管理權限，在安全防范措施較弱的情況下，這恰恰為黑客劫持路由器提供了最大便利。

如知名廠商D-link在其多款主流路由器產品中，就留下了這樣一個嚴重的后門。用一個roodkcableo28840ybtide的關鍵密匙，就能通過遠程登錄，輕松拿到大多數D-link路由器的管理權限。