|
DailyTech报道,今年2月份被曝光的D-Link产品漏洞至今仍未被修复。该漏洞影响D-Link的几款路由器产品,导致远程代码可以通过路由器firmware执行,为用户留下安全隐患。攻击者甚至可以利用该漏洞控制所有网络流量。
受影响的产品有:
DI-524 (无线)
DI-604*
DI-624 (无线)
DI-784* (无线)
EBR-2310*
WBR-1310 (无线)
WBR-2310 (无线)
(*表示已经推出升级版固件)
D-Link对于该漏洞几乎没有公开表态,而只是为受影响产品中的一小部分推出了修正补丁。实际上只有一个自称D-Lin技术支持员工的人在DSLReports.com论坛发出的一个帖子可以看作是该公司对于此问题的唯一公开回应。在帖子中,这名员工表示该问题和LAN端协议uPnP有关,并由此推断该问题将不会影响WAN或者招致Internet攻击。
不幸的是由于某些受影响的路由器支持无线功能,因此黑客获取这部分无线路由器的访问权限并植入有害代码并非不可能。实际上即使是没有漏洞的无线路由器也并非绝对安全,只要给予足够的时间和资源也可以攻破。安全研究人员目前可以给与的唯一建议就是在D-Link推出修正补丁前不要使用这些路由器,因为用户对于这样的问题无能为力。
最近还有一条有关D-Link的消息称其工程师开始使用一种FreeBSD NTP顶级服务器作为其设备的主要时间服务器。这个问题最终已经被解决,新的路由器不再使用NTP服务器。
|
