• 發布單位:TWCERT/CC
• 更新日期:2021-12-19
• 點閱次數:12869

德國媒體會同資安專家檢測市售多個廠牌的九種暢銷家用路由器，總共發現多達 226 個資安漏洞，影響裝置數量超過數百萬台之多，用戶應提高警覺並儘速更新。

進行這次測試的是資安廠商 IoT Inspector 與德國資訊科技媒體 CHIP，蒐集市面上十分熱門的家用無線路由器來進行測試，其中也包括數個台灣廠商的產品，其測試機種，與其被發現的資安漏洞個數，分別如下：

• Asus ROG Rapture GT-AX11000：25 個(Asus 安全公告請點此)
• AVM FritzBox 7530AX：20 個
• AVM FritzBox 7590AX：18 個
• D-Link DIR-X5460：26 個(D-Link 支援公告請點此)
• Edimax BR-6473AX：25 個
• Linksys Velop MR9600：21 個
• Netgear Nighthawk AX12：29 個
• Synology RT-2600AC：30 個 (Synology 中文安全公告 Press Releases )
• TP-Link Archer AX6000：32 個

參與測試的資安專家指出，CHIP 測試的都是市場上的最新機種，廠商送測時也均更新至最新版本：漏洞最多的 TP-Link 產品有多達 32 個資安漏洞，其中更有 11 個屬於高度危險，其次是 Synology 產品，總漏洞數也高達 30 個之多。漏洞最少的 AVM Fritzbox 7590 AX 也有多達 18 個漏洞。

資安專家指出，這些路由器的漏洞不全是危險等級的漏洞，會存有這麼多漏洞的主要原因歸納如下：

• 韌體採用的 Linux 作業系統版本太過老舊；
• 多媒體與 VPN 功能使用的程式碼太過老舊；
• 採用的 BusyBox 程式版本太舊；
• 使用容易遭到破解的管理者密碼；
• 在韌體程式碼中以明文寫入登入資訊。

建議採取資安強化措施

1、鑑於各廠牌家用路由器經常被資安專家找到多個漏洞，建議所有家中裝有寬頻網路服務的用戶，都應開啟路由器的自動更新功能、更改預設管理者密碼，且如果沒有使用 UPnP 或 WPS 功能，都應將之關閉，以強化路由器的安全防護設定。

2、Asus 近期已針對多款路由器產品(GT-AXE11000, GT-AX11000, GT-AX2900, TUF-AX3000, RT-AX92U,RT-AX88U, RT-AX86U, RT-AX68U, RT-AX58U, RT-AX56U, RT-AX55, RT-AC88U, RT-AC3100, RT-AC86U, RT-AC2900, RT-AC1750_B1, RT-AC1900, RT-AC1900P, RT-AC1900U, RT-AC66U_B1, RT-AC68P, RT-AC68R, RT-AC68RF, RT-AC68RW, RT-AC68U, RT-AC68W, ZenWiFi AX, ZenWIFi AC, ZenWiFi AC mini, ZenWiFi AX mini)進行例行性韌體更新，敬請用戶參考華碩官方網站 ASUS Product Security Advisory 之說明並進行韌體下載與更新，以達到最佳的安全防護。

3、D-Link 已公布 DIR-X5460 產品之相關訊息，請相關用戶盡速進行更新。後續也要請相關用戶定期進行更新並維持最新版本，以保持產品的使用安全。

4、Synology 針對近期路由器安全性報導，聲明 SRM 路由器作業系統無重大安全性問題。