100多台Wi-Fi路由器未通过重大安全测试--立即保护您自己

2020-07-09 09:00:04

最近发布的一份报告称,在德国著名的弗劳恩霍夫研究所(Fraunhofer Institute)的一项大规模研究中,几乎所有家用Wi-Fi路由器都存在严重的安全漏洞,路由器制造商很容易修复这些漏洞。

弗劳恩霍夫研究所在一份新闻稿中说,几乎所有人都被发现存在安全漏洞,其中一些非常严重。问题范围从丢失安全更新到容易解密的硬编码密码,以及早就应该打补丁的已知漏洞。

该研究所使用自己的分析软件,测试了目前在欧洲销售的117款家用Wi-Fi机型的最新可用固件,这些机型包括来自华硕、D-Link、Linksys、Netkit、TP-Link、Zyxel和德国小型品牌AVM的路由器,但这些机型本身并未经过物理测试。

有关经过测试的型号和固件的完整列表,请访问GitHub。该研究所未能检查另外10款机型的固件,其中大部分来自Linksys。报告指出,许多固件更新都是在没有修复已知缺陷的情况下发布的。

由于这项研究始于3月下旬,并检查了3月27日可用的固件,因此不会包括Netkit在6月下旬发布的数十个固件热修复程序,以纠正一系列缺陷。

与此同时,华为路由器没有受到检查,因为该公司没有公开提供其路由器固件,也没有检查ISP发布的路由器和网关,因为ISP将固件开发外包给了许多第三方。

这并不是这类调查的第一次。2018年12月,另一项关于路由器安全的研究发布了类似的可怕报告,但在随后的18个月中几乎没有看到任何改善。

那么您能做些什么呢?您可以确保您购买的下一台路由器自动安装固件更新。您可以检查您当前的路由器是否这样做,或者使手动安装固件更新变得相当容易。

您还应确保路由器的管理密码已从出厂默认密码更改。(请查看https://www.routerpasswords.com.)上的默认密码列表。您还应该检查其管理界面,以确保禁用了UPnP和远程访问。

如果您的路由器是5年前首次发布的,请考虑购买较新的型号,除非它满足上述所有标准。(以下是我们选出的最佳Wi-Fi路由器。)。

或者,您也可以尝试使用闪存来运行更安全的开源路由器固件,如OpenWRT、DD-WRT或Tomato。

到目前为止,AVM在接受检查的七家制造商中是最好的,尽管它并不是没有缺陷。华硕和Netkit表现不佳,但不如D-Link、Linksys、TP-Link和Zyxel糟糕。

这些缺陷包括过时的固件(D-Link DSL-321B Z自2014年以来就没有更新过);过时的Linux内核(Linksys WRT54GL使用2002年的内核);未能实施通用安全技术(AVM在这里比其他技术做得更好);固件中嵌入的私钥,因此任何人都可以找到它们(Netkit R6800有13个);以及允许完全接管设备的硬编码管理用户名和密码(只有华硕没有)。

弗劳恩霍夫的报告总结道,没有一台路由器是没有缺陷的,也没有一家供应商在所有安全方面都做得尽善尽美。要使家用路由器与当前的台式机或服务器系统一样安全,需要付出更多的努力。

有几个路由器在研究中被点名,你绝对不应该使用,即使看起来你仍然可以买到它们。

报告称,关于高度严重的CVE[广为人知的缺陷],最糟糕的情况是Linksys WRT54GL采用了我们研究中发现的最古老的内核,并指出该型号使用了2002年的2.4.20内核。";有579个严重程度较高的CVE影响此产品。";

该特定型号的固件上一次更新是在2016年1月,这是研究中最古老的固件之一。Linksys WRT54GL于2005年首次发布,尽管它只处理高达802.11g的Wi-Fi协议,但至今仍在销售。

然而,WRT54G系列可能是有史以来最畅销的Wi-Fi路由器系列。WRT54GL的持续吸引力可能是因为它的可靠性声誉,以及它很容易闪现就能运行开源固件的事实--OpenWRT固件最初是为了在这一系列路由器上运行而开发的。(工业和信息化部电子科学技术情报研究所陈冯富珍译为“WRT54GL';WRT54GL##”)。

这并不是说其他型号在运行最新的Linux内核方面做得更好。(研究中90%以上的路由器运行Linux。)。到目前为止,Linux内核最常见的版本是2010年发布的2.6.36。只有AVM没有运行任何2.x内核,其最早版本是2013年的3.10.10。

然而,报告指出,超过一半的AVM设备运行的内核版本已不再维护。

Linux一直在其内核中构建新的安全功能,在Linux设备上更新内核并不是那么困难。Linux PC和服务器发行版的制造商一直都在这么做。

虽然在Fraunhofer测试时(2020年3月27日)最新的Linux内核是5.4版,但没有一台测试的路由器使用的是2016年4.4.60以后的版本。(AVM和Netkit使用了那个。)。

研究员约翰尼斯·沃姆·多普(Johannes Vom Dorp)在弗劳恩霍夫的新闻稿中表示,Linux一直在努力填补其操作系统中的安全漏洞,并开发新的功能。制造商所要做的就是安装最新的软件,但是他们没有把它集成到他们能够而且应该集成的程度。

另一款禁忌机型是Netkit R6800,如上所述,它的固件中嵌入了多达13个硬编码的私人安全密钥。

它的最后一次固件更新是在2019年8月,在新的固件可用之前,我们不想使用它。(这款机型不是6月下旬Netkit热修复系列的一部分。)。

私钥是管理互联网安全的机制的重要组成部分,路由器将使用私钥来启动安全传输和验证固件更新。他们需要严密保守秘密才能有效,但如果密钥可以在路由器的固件中找到,那么这一点就会被很好地破坏。

报告称,这意味着任何攻击者都可以冒充该设备进行中间人攻击。";这些密钥与同一型号的所有设备共享。*这意味着在固件中发布的一个私钥会使数千个设备处于危险之中。";

只有AVM的所有固件映像中的私钥为零。NETGEAR拥有最多。

然后是D-Link DSL-321B Z,它自2014年8月以来就没有进行过固件更新。总共有46款机型在一年多的时间里没有收到更新,尽管大多数都是在前两年内收到的。

报告称,如果供应商很长一段时间没有更新固件,那么可以肯定的是,该设备中存在几个已知的漏洞。反之亦然。

就可用的安全保护而言,AVM显然是在其设备上部署这些保护的最佳选择,Netkit远远落后于Netkit,这些安全保护太过技术性,不能在这里讨论。D-Link表现最差。

但同样,这些保护中的大多数都是Linux个人电脑和服务器上的标准保护,甚至在Android手机上也是如此。没有真正好的理由不能在更多的路由器上使用它们。