引言：近年來(lái)，路由器以成了上網(wǎng)必備的工具，只要有網(wǎng)絡(luò)那就少不了有一個(gè)路由器，就在人們享受路由器便捷的時(shí)候，誰(shuí)又曾想過(guò)這個(gè)設(shè)備的安全性?如今各種廠(chǎng)商路由器都或多或少爆出過(guò)一些漏洞，給家庭網(wǎng)絡(luò)帶來(lái)了不小的影響，如今家用路由器安全已經(jīng)不容忽視了。

我國(guó)有小微企業(yè)2000多萬(wàn)家，除了一些財(cái)力雄厚的企業(yè)有較好的上網(wǎng)環(huán)境外，還有眾多小微企業(yè)需自己建立外接互聯(lián)網(wǎng)。路由器已經(jīng)成為了小企業(yè)上網(wǎng)必備的工具，只要辦公室有網(wǎng)絡(luò)那就少不了有一個(gè)路由器（如圖1），就在人們享受路由器便捷的時(shí)候，誰(shuí)又曾想過(guò)這個(gè)設(shè)備的安全性?如今各種廠(chǎng)商路由器都或多或少爆出過(guò)一些漏洞，給網(wǎng)絡(luò)安全性帶來(lái)了不小的影響，如今路由器安全已經(jīng)不容忽視了。如果單位路由器被黑客控制，那么用戶(hù)的網(wǎng)銀、電子郵箱等各類(lèi)賬號(hào)密碼都面臨失竊風(fēng)險(xiǎn)（如圖2）。

路由器的漏洞主要分為密碼破解漏洞、Web漏洞、后門(mén)漏洞和溢出漏洞。路由器密碼破解漏洞:WiFi的加密方式一般有三種WEP、WPA 和 WPA2。WEP加密方式加密強(qiáng)度相對(duì)較低，現(xiàn)在幾乎被淘汰。WPA和WPA2存在暴力破解的漏洞。

圖1 路由器連接設(shè)置

圖2 路由器漏洞

路由器Web漏洞

主要是CSRF、命令執(zhí)行、XSS（跨站）等。路由器后門(mén)漏洞:這個(gè)后門(mén)是指開(kāi)發(fā)軟件的程序員為了以后方便調(diào)試和維護(hù)而留下的一個(gè)具有很高權(quán)限的后門(mén)。這個(gè)后門(mén)一般不公開(kāi)，如果被網(wǎng)絡(luò)安全研究者發(fā)現(xiàn)并公開(kāi)，這就意味著攻擊者可以繞過(guò)你設(shè)置的一些安全認(rèn)證直接控制你的路由器。

路由器溢出漏洞

攻擊者可以利用這個(gè)漏洞來(lái)執(zhí)行非授權(quán)指令，進(jìn)而獲得系統(tǒng)特權(quán)，從而執(zhí)行各種非法的操作?，F(xiàn)在常用的路由器有TP-Link、Tenda、Netcore（磊 科）、D-Link和華為等一些廠(chǎng)家的。我主要介紹一下上面五個(gè)廠(chǎng)商路由器的漏洞。

TP-Link的漏洞

這個(gè)漏洞是前一陣在WooYun看到的，標(biāo)題是《全國(guó)首發(fā)TP-Link wr-842n等多款無(wú)線(xiàn)路由器（新界面2015）存在多個(gè)致命漏洞》利用這個(gè)漏洞可以任意下載配置文件，繞過(guò)設(shè)備認(rèn)證，隨意修改系統(tǒng)配置。下面介紹一下具體的利用和防御方法。

漏洞測(cè)試方法:首先在瀏覽輸入http://192.168.1.1/config.bin可以直接下載路由器的配置文件，然后使用openssl enc -d-des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin命令提取配置信息，然后在提取出來(lái)的結(jié)果中找到類(lèi)似authKey 0rZily4W9TefbwK的信息，這段就是加密過(guò)的用戶(hù)后臺(tái)登錄密碼。這段加密字串“0rZily4W9TefbwK”通過(guò)用戶(hù)瀏覽器運(yùn)算生成，且存在算法漏洞，加密字串雖不可逆，但存在大量碰撞，即任意字符可生成相同的加密字串。

漏洞修復(fù)方法：關(guān)于這個(gè)漏洞TP-Link官網(wǎng)已經(jīng)發(fā)布了修復(fù)補(bǔ)丁，下載地址為http://service.tp-link.com.cn/detail_download_2043.html。

TP-Link CSRF漏洞

用戶(hù)若仍使用默認(rèn)出廠(chǎng)密碼，在訪(fǎng)問(wèn)了包含惡意腳本的網(wǎng)頁(yè)時(shí)，路由器的DNS即遭篡改(“弱密碼”漏洞)，從而劫持連接此路由器的所有設(shè)備。其中受到影響型號(hào)包 括：TL-WR740N、TLWR840N、TL-WR841NV8等型號(hào)2013年前的固件版本。如圖3的TP-Link路由器。

漏洞修復(fù)方法：目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到TPLink官網(wǎng)下載。

圖3 TP-Link路由器

圖4 Tenda路由器

Tenda的cookie hijacking漏洞

利用cookie hijacking可以免密碼登錄路由器。

漏洞測(cè)試方法:通過(guò)手工建立Cookie值然后提交能繞過(guò)登錄密碼驗(yàn)證界面。也可以利用網(wǎng)上現(xiàn)成的測(cè)試工具來(lái)測(cè)試自己的路由器是不是有這個(gè)漏洞。

漏洞修復(fù)方法：這個(gè)漏洞也是在WooYun看到的，編號(hào)為WooYun-2013-17767的漏洞。廠(chǎng)商對(duì)漏洞的回復(fù)“CNVD確認(rèn)漏洞情況（在一些家用版本上未復(fù)現(xiàn)），還請(qǐng)作者告知測(cè)試用版本編號(hào)，轉(zhuǎn)由CNVD協(xié)調(diào)生產(chǎn)廠(chǎng)商處置”。實(shí)際上廠(chǎng)商也沒(méi)有給出很好的修復(fù)方案?？梢試L試更新一下路由器的固件。圖4為T(mén)enda路由器。

Tenda無(wú)線(xiàn)路由器遠(yuǎn)程命令執(zhí)行后門(mén)漏洞

Tenda的 W330R、W302R無(wú)線(xiàn)路由器固件最新版本中存在后門(mén)，該漏洞通過(guò)一個(gè)UDP數(shù)據(jù)包即可利用，如果設(shè)備收到以某些字符串為開(kāi)頭的數(shù)據(jù)包，即可觸發(fā)此漏洞執(zhí)行各類(lèi)命令，甚至以root權(quán)限執(zhí)行任何命令。

漏洞測(cè)試方法：echo-ne "w302r_mfgx00x/bin/ls" | nc -u -q 5 192.168.0.17329。

漏洞修復(fù)方法：目前廠(chǎng)商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序。

Netcore（磊 科）系 列路由器中存在一個(gè)后門(mén)，進(jìn)入后門(mén)的口令被“硬加密”(hardcoded)寫(xiě)入到設(shè)備的固件中，而且所有的口令似乎都一樣。攻擊者可以輕易的利用這個(gè)口令登錄路由器，而且用戶(hù)無(wú)法更改或禁用這個(gè)后門(mén)。

該后門(mén)漏洞形成的原因?yàn)?磊科路由器內(nèi)置了一個(gè)叫做“IGDMPTD”的程序，該程序會(huì)隨路由器啟動(dòng)，并在公網(wǎng)上開(kāi)放UDP協(xié)議的53413端口，使攻擊者可以通過(guò)公網(wǎng)在磊科路由器上執(zhí)行任意系統(tǒng)命令，進(jìn)而控制路由器，因此該漏洞危險(xiǎn)等級(jí)極高。

漏洞測(cè)試方法：首先執(zhí)行netcore_POC.py，用這個(gè)登錄路由器然后就可以執(zhí)行命令了。

漏洞修復(fù)方法：目前廠(chǎng)商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序。

圖5 D-Link路由器

D-Link路由器溢出漏洞

漏洞主要還影響D-Link DIR-645 、D-Link DIR-865和D-Link DIR-845。該漏洞是CGI腳本authentiction.cgi在讀取POST參數(shù)過(guò)程中名為“password”參數(shù)的值時(shí)可以造成緩沖區(qū)溢出，并能遠(yuǎn)程執(zhí)行命令。D-Link DIR-645，其固件版本1.03B08同時(shí)還存在多個(gè)緩沖區(qū)溢出和跨站腳本漏洞，包 括 ："post_login.xml"、"hedwig.cgi"上的緩沖區(qū)溢 出，"bind.php"、"info.php"、"bsc_sms_send.php"上的跨站腳本、遠(yuǎn)程攻擊者可利用這些漏洞在受影響設(shè)備中執(zhí)行任意代碼，執(zhí)行未授權(quán)操作。如圖5為D-Link路由器。

漏洞測(cè)試工具:首先執(zhí)行DIR645-f - V1.03.py，會(huì)在路由器的2323端口開(kāi)放Telnet服務(wù)然后使用Telnet登錄路由器。

漏洞修復(fù)方法: 目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)?jiān)L問(wèn)廠(chǎng)商主頁(yè)http://www.dlink.com。

華碩路由器CSRF漏洞

用戶(hù)若仍使用默認(rèn)出廠(chǎng)密碼，在訪(fǎng)問(wèn)了包含惡意腳本的網(wǎng)頁(yè)時(shí)，路由器的DNS即遭篡改(“弱密碼”漏洞)，從而劫持連接此路由器的所有設(shè)備。受影響的路由器型號(hào)有：RT-AC66R、RTAC66U、RT -AC68U、RT-N66R、RT-N66U、RTAC56U、RT-N56R、RTN56U、RT-N14U、RTN16和RT-N16R。

漏洞修復(fù)方法: 廠(chǎng)商已提供修復(fù)補(bǔ)丁，有需要的可以到官網(wǎng)升級(jí)最新的固件。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的“2013年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述”顯示，D-Link、思科、Netgear、Tenda等多家廠(chǎng)商的路由器產(chǎn)品存在后門(mén)。黑客可由此直接控制路由器，進(jìn)一步發(fā)起DNS(域名系統(tǒng))劫持、竊取信息、網(wǎng)絡(luò)釣魚(yú)等攻擊，直接威脅用戶(hù)網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全。這意味著相關(guān)路由器成為隨時(shí)可被引爆的“地雷”。下面就介紹一下這些廠(chǎng)商的路由器后門(mén)漏洞。

D-Link路由器后門(mén)漏洞

D-Link部 分 路由器使用的固件版本中存在一個(gè)人為設(shè)置的后門(mén)漏洞。攻擊者通過(guò)修改User-Agent值 為“xmlset_roodkcableoj28840ybtide”即可繞過(guò)路由器Web認(rèn)證機(jī)制取得后臺(tái)管理權(quán)限。取得后臺(tái)管理權(quán)限后攻擊者可以通過(guò)升級(jí)固件的方式植入后門(mén)，取得路由器的完全控制權(quán)。漏洞影響路由器型號(hào)：DIR-100、DIR-120、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TMG5240、BRL-04R、BRL-04UR、BRL-04CW 以 及BRL-04FWU。

漏洞修復(fù)方法:廠(chǎng)商已提供修復(fù)補(bǔ)丁，可以到官網(wǎng)升級(jí)最新的固件。

Cisco路由器遠(yuǎn)程特權(quán)提升漏洞

允許未驗(yàn)證遠(yuǎn)程攻擊者獲得對(duì)設(shè)備的root級(jí)的訪(fǎng)問(wèn)。漏洞影響路由器 型 號(hào):Cisco RVS4000、Cisco WRVS4400N、Cisco WRVS4400N和Cisco WAP4410N等多款路由器設(shè)備。漏洞修復(fù)方法:現(xiàn)在廠(chǎng)商可以提供修復(fù)補(bǔ)丁，在官網(wǎng)上可以升級(jí)最新的固件。如圖6是Cisco的某種型號(hào)路由器。

圖6 Cisco路由器

NetGear后門(mén)漏洞和Net－GearDGN2000Telnet后門(mén)未授權(quán)訪(fǎng)問(wèn)漏洞該后門(mén)是廠(chǎng)商設(shè)置的超級(jí)用戶(hù)和口令，攻擊者可以用來(lái)在相鄰網(wǎng)絡(luò)內(nèi)獲取路由器的root權(quán)限，進(jìn)而植入木馬完全控制路由器。NetGearDGN2000產(chǎn)品存在的安全漏洞被利用后可導(dǎo)致執(zhí)行任意系統(tǒng)命令。受影響的路由器型號(hào)包括 有 ：WNDR3700、WN －DR4500、WNDR4300、R6300 v1、R6300v2、WNDR3800、WNDR3400v2、WNR3500L、WNR3500L v2、WNDR3300和DGN2000。

漏洞修復(fù)方法:NetGear尚未對(duì)以上漏洞和后門(mén)提供解決方案，因此建議更換路由器。

總結(jié)

有些漏洞廠(chǎng)商目前還沒(méi)有提供補(bǔ)丁，我個(gè)人認(rèn)為好點(diǎn)的辦法就是限制非法人員訪(fǎng)問(wèn)路由器，一般訪(fǎng)問(wèn)路由器是通過(guò)無(wú)線(xiàn)連接之后然后訪(fǎng)問(wèn)路由器后臺(tái)，還有就是通過(guò)WAN訪(fǎng)問(wèn)。建議關(guān)閉路由器WAN訪(fǎng)問(wèn)，無(wú)線(xiàn)密碼設(shè)置復(fù)雜一些，禁用WPS功能，使用WPA2加密，還有就是升級(jí)到最新的路由器固件。

以上漏洞案例是對(duì)網(wǎng)上一些路由器案例的總結(jié)，為了方便讀者查找和測(cè)試自己的路由器是不是存在漏洞，以便修復(fù)。尤其對(duì)于小型企業(yè)而言，由于不像大型企業(yè)網(wǎng)絡(luò)管理那樣完備，路由器的漏洞更是直接關(guān)乎個(gè)人及企業(yè)利益。因此，小型企業(yè)在使用路由器的同時(shí)必須加強(qiáng)平時(shí)對(duì)網(wǎng)絡(luò)設(shè)備的保護(hù)的思想意識(shí)及技術(shù)管理，在保障個(gè)人及企業(yè)隱私和利益不受損失。