德国知名的弗劳恩霍夫通信协会(Fraunhofer Institute for Communication,FKIE)最新研究显示,许多知名品牌的家用路由器使用古早而久未更新的Linux操作系统,包含已经公诸于世的漏洞、还把登录密码存在固件中,突显家庭网络安全堪忧。
这家研究机构分析了全球7个知名厂商,包括华硕、合勤、友讯(D-Link)、Linksys、TP-Link、AVM及Netgear出品的127款家用路由器产品,并以他们自行研发的固件分析工具来分析这些设备固件何时更新、用什么操作系统、有多少已知重大漏洞、厂商用什么方法缓解攻击及多久激活一次、固件镜像文件是否包含加密密钥信息,以及是否有什么写死(hard-coded)的登录帐密等等。而研究结果显示,没有一台路由器是没有漏洞的。
FKIE发现,在127台受测产品中,有46台过去一年都没有发布安全更新。
90%以上的产品使用Linux,但是超过1/3使用的是2.6.36以前的版本,那至少是2011年2月以前的版本。AVM是唯一一家未曾使用Linux 2.6版以前的厂商,半数使用4.4版Linux Kernel。而Netgear、TP-Link有半数使用2.6.36版核心,合勤甚至有25%使用2.6.35版本核心。
老旧操作系统可能带有许多安全漏洞,促使研究人员计算这些路由器固件镜像文件中的已知Linux重大安全漏洞。这127台设备平均有53个重大风险漏洞,即使表现最好的产品,也有至少21个重大风险或348个高度风险漏洞。高度风险最多的是Linksys WRT54GL,有579个,它使用的Linux核心是所有受测产品中最旧。而合勤的Zyxel NBG6816及Zyxel NBG6815,则并列最多重大风险漏洞的产品,漏洞数各有68个。
研究人员也查看家用路由器产品的固件,是否包含私有密钥可能被黑客访问。结果显示,127台设备中平均泄露的私钥信息为5种,其中Netgear R6800总共公开了13种信息,为所有产品之冠。只有AVM的固件镜像文件不会公开任何密钥信息。
物联网僵尸病毒Mirai利用写死(hard-coded)的登录凭证或密码来入侵许多联网设备,因而成为本研究的另一查看标的。华硕、合勤及友讯在内的6成产品固件镜像文件中,都不包含写死的登录凭证和密码,但仍有50台包含写死的凭证,其中16台还使用广为人知或极易破解的凭证。最不安全的是Netgear RAX40,使用password、amazon作为登录密码。华硕则是唯一在固件镜像文件中,不存储任何写死凭证和密码的厂商。
至于厂商使用了多少保护嵌入式设备的缓解技术,研究显示AVM使用的防护最多,而友讯最少。整体而言,研究人员结论AVM最安全,华硕和Netgear在某些方面表现优于友讯、Linksys、TP-Link及合勤。
这份报告或许也反映近日的路由器安全事件。6月底安全厂商ZDI披露79款Netgear R6700系列路由器含有允许黑客执行任意程序的安全漏洞,Netgear在1月就接获通报,但6个月后仍未完成修补。