多款家用路由器發現資安漏洞,國內廠商已釋出更新檔,建議用戶盡速進行更新
- 發布單位:TWCERT/CC
- 更新日期:2021-12-19
- 點閱次數:13917
德國媒體會同資安專家檢測市售多個廠牌的九種暢銷家用路由器,總共發現多達 226 個資安漏洞,影響裝置數量超過數百萬台之多,用戶應提高警覺並儘速更新。
進行這次測試的是資安廠商 IoT Inspector 與德國資訊科技媒體 CHIP,蒐集市面上十分熱門的家用無線路由器來進行測試,其中也包括數個台灣廠商的產品,其測試機種,與其被發現的資安漏洞個數,分別如下:
- Asus ROG Rapture GT-AX11000:25 個(Asus 安全公告請點此)
- AVM FritzBox 7530AX:20 個
- AVM FritzBox 7590AX:18 個
- D-Link DIR-X5460:26 個(D-Link 支援公告請點此)
- Edimax BR-6473AX:25 個
- Linksys Velop MR9600:21 個
- Netgear Nighthawk AX12:29 個
- Synology RT-2600AC:30 個 (Synology 中文安全公告 Press Releases )
- TP-Link Archer AX6000:32 個
參與測試的資安專家指出,CHIP 測試的都是市場上的最新機種,廠商送測時也均更新至最新版本:漏洞最多的 TP-Link 產品有多達 32 個資安漏洞,其中更有 11 個屬於高度危險,其次是 Synology 產品,總漏洞數也高達 30 個之多。漏洞最少的 AVM Fritzbox 7590 AX 也有多達 18 個漏洞。
資安專家指出,這些路由器的漏洞不全是危險等級的漏洞,會存有這麼多漏洞的主要原因歸納如下:
- 韌體採用的 Linux 作業系統版本太過老舊;
- 多媒體與 VPN 功能使用的程式碼太過老舊;
- 採用的 BusyBox 程式版本太舊;
- 使用容易遭到破解的管理者密碼;
- 在韌體程式碼中以明文寫入登入資訊。
建議採取資安強化措施
1、鑑於各廠牌家用路由器經常被資安專家找到多個漏洞,建議所有家中裝有寬頻網路服務的用戶,都應開啟路由器的自動更新功能、更改預設管理者密碼,且如果沒有使用 UPnP 或 WPS 功能,都應將之關閉,以強化路由器的安全防護設定。
2、Asus 近期已針對多款路由器產品(GT-AXE11000, GT-AX11000, GT-AX2900, TUF-AX3000, RT-AX92U,RT-AX88U, RT-AX86U, RT-AX68U, RT-AX58U, RT-AX56U, RT-AX55, RT-AC88U, RT-AC3100, RT-AC86U, RT-AC2900, RT-AC1750_B1, RT-AC1900, RT-AC1900P, RT-AC1900U, RT-AC66U_B1, RT-AC68P, RT-AC68R, RT-AC68RF, RT-AC68RW, RT-AC68U, RT-AC68W, ZenWiFi AX, ZenWIFi AC, ZenWiFi AC mini, ZenWiFi AX mini)進行例行性韌體更新,敬請用戶參考華碩官方網站 ASUS Product Security Advisory 之說明並進行韌體下載與更新,以達到最佳的安全防護。
3、D-Link 已公布 DIR-X5460 產品之相關訊息,請相關用戶盡速進行更新。後續也要請相關用戶定期進行更新並維持最新版本,以保持產品的使用安全。
4、Synology 針對近期路由器安全性報導,聲明 SRM 路由器作業系統無重大安全性問題。
相關連結
- Hackers welcome: Major security test uncovers vulnerabilities in all common Wi-Fi routers
- 針對近期路由器安全性報導, Synology 聲明 SRM 路由器作業系統無重大安全性問題
- WLAN-Router im Sicherheits-Check
- 華碩安全公告ASUS Product Security Advisory
- Nine WiFi routers used by millions were vulnerable to 226 flaws
- D-Link Support Announcements DIR-X5460 :: H/W Rev. Ax :: F/W v1.10b10 :: Multiple Vulnerability repo