路由器可以说是掌控着我们身边网络的一大部分,毕竟大部分人没有了它就不能够用WiFi来上网。而如果路由器是出现安全漏洞的话,我们的个人资料就很危险了。因此其中一个预防措施就是定期升级固件以及安全更新来防止入侵。然而,如果是升级这个操作本身就有漏洞的呢?
网络安全研究机构Trustwave就发现,华硕旗下的RT-AC1900P路由器有两个比较重大的安全漏洞,涉及到路由器的固件升级。一旦被利用的话,所有经由此路由进行的网络通信以及使用它们的设备都会被完全截取。
第一个漏洞CVE-2020-15948是一个缺乏证书认证的漏洞clash软件是用来干嘛的clash软件是用来干嘛的。RT-AC1900P原本是透过使用GNU Wget来从华硕的服务器获取固件升级的。使用SSH来登录并且用Linux/Unix的“grep”指令可以在系统档案里找到这个漏洞的元凶字符串“-no-check-certificate”。
这个字符串表示在Wget获取固件升级時可以无视沒有安全证书就安装更新,因此攻击者可以利用这点来伪造一个不被信任的证书并且在目标用户的路由中安装恶意档案。不过要做到这点,攻击者必须要先连接到目标路由器上才能够发行中间人攻击,也就是说要在路由附近才行。
“发行说明页面在呈现给用户之前没有正确地转义页面的内容。这意味着在攻击者可以利用中间人攻击得出的结果,并且将其与任意JavaScript代码执行一起使用来攻击合法的管理员。”
华硕在固件版本3.0.0.4.385_20253中已经修复了这两个漏洞,因此所有在用RT-AC1900P路由器但是固件版本较旧的用户,出于安全的考虑最好把固件升级一下。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布clash关闭后上不了网,本平台仅提供信息存储服务。
胖东来董事长于东来宣布退休!“董事长、总经理到50岁,不管多大能力都必须下来”!
中国常驻联合国副代表耿爽:中方坚定支持阿根廷对马岛主权的正当要求,敦促英方尽快与阿方重启对话谈判。
网友称同事回国当天机场附近逛街吃饭,回来后车被砸行李护照全没了!被迫滞留美国!
2亿欧, 官宣加盟! 巴西之王空降豪门, 钦点C罗, 无视巴萨, 弃金球
6岁男孩发热11天不退clash软件是用来干嘛的,医生从他的“白”肺中取出一根根“小树枝”!近期孩子出现这些情况要警惕clash软件是用来干嘛的clash关闭后上不了网