【猎云网(微信号:ilieyun)】12月15日报道 (编译:双双)
Netgear部分路由器存在容易被黑客攻击的漏洞,在未经允许的情况下,黑客可以完全控制数以千计的家庭网络设备,并诱导人们陷入可怕的僵尸网络。虽然Netgear终于推出了一些尝试性的修补程序,但是修补所有漏洞的推迟和挑战说明了物联网风险是什么样子,以及一旦出错,对其进行修补是多么困难。
安全研究人员Andrew Rollins曾在今年8月25日将该漏洞上报给Netgear,但是他说该公司从未回应过他。等了三个多月后仍没有回应,于是他公开披露了该漏洞,并且上周五国土安全部CERT小组发布了相关公告。它的建议是?拔插头?
CERT通知上说:“利用此漏洞有点麻烦,那些有这种风险的用户在漏洞修复之前应当考虑中止使用受影响的设备。”该漏洞允许黑客在未经身份验证的情况下进入管理界面,然后执行恶意命令,这可能会导致整个系统崩溃。
最初,Netgear在本周末表示三款产品“可能易受攻击”,而现在确认有8个路由器型号(R6250、R6400、R6700、R7000、R7100LG、R7300、R7900、R8000)受到影响,其中包括亚马逊上最受欢迎的3款路由器。Netgear仍然拒绝评论为什么需要这么长时间发布生产级固件更新。公司在一份声明中表示:“对于那些使用Netgear产品的用户,我们正努力获取并维持他们的信任。”
周二,Netgear最终发布了某些型号的测试版补丁,但是公司表示这些修复没有经过全面测试,而且“有可能无法为所有用户使用。”更糟糕的是,Netgear用户必须自己安装固件,公司没有推出无线更新流程,用户必须自己动手安装。不管怎样,好歹是官方发布的补丁。
Rollins说:“这让他们看起来很不称职,该漏洞并不难修复。”
上周五,计算机科学研究人员Bas van Schaik发布了该漏洞的临时修复办法。他说:“最令他惊讶的是,Netgear在几个月之前就被告知这个漏洞,但是却没有采取任何行动。鉴于该漏洞的严重性,我觉得这很令人不解。”
如果可以的话,使用受到影响的路由器用户应该下载测试版补丁,如果不行,那就采用van Schaik的解决办法(CERT也推荐使用)。另一个办法是断开路由器,直到Netgear发布最终的固件更新。
物联网警钟
不知道有多少Netgear路由器被入侵,而如今漏洞已经公开,用户应当想想自己所面临的风险。然而,该事件引发了物联网设备面临的更大问题。最重要的是,如果真的出现问题,解决这个问题是多么困难。
数百万的物联网设备很容易通过一个漏洞或者其他遭到控制,这逐渐导致了物联网僵尸网络的形成,攻击者通过恶意软件入侵大批设备,然后利用其发起攻击。发现漏洞是与之作战的第一步,但是更大的挑战是一旦发现错误,就需要对他们进行保护。人们很少观察他们的路由器,远不及他们跟电脑交互的次数。而且,与受感染的电脑不同,它没有警报或者清楚的迹象表明出现问题。物联网设备很难诊断,更难以修复。
安全公司BeyondTrust技术副总裁Morey Haber表示:“对于为用户升级的通知和程序而言,它必须达到一个足够简单的水平,否则我们最终会遇到问题。有很多设备,它们非常复杂,更新一次也非常困难,并且人们甚至不知道这些设备存在风险。”
只要设备易受攻击,攻击者就会积极地利用他们。这是一个恶性循环,很多Netgear用户正在经受这一循环。