至于怎样限制服务器和设备之间的交互作用,有很多种方式,例如防火墙、白名单

该漏洞(cve-2014-8361)允许未经身份验证的攻击者使用root特权在受害者系统上执行任意代码惠普旗下tippingpiont的项目组zdi(zero day initiative)将该漏洞在通用安全漏洞评分系统(cvss)中被评为10分(最高级别)

涉及企业

瑞昱公司所有用于开发rtl81xx系列网卡驱动的软件开发工具包均受影响友讯科技和趋势网络路由器“成功地”复制了这一漏洞,另外还有众多使用rtl81xx芯片组的供应商设备也存在这一问题

安全建议

漏洞详情

无线路由器:漏洞的乐园?

安全研究员lawshar在2014年8月把漏洞报告给zdi,zdi当月报告商贸属于哪个行业给了路由器供应商,但它们至今没有发布补丁

鉴于瑞昱公司软件开发工具包的功能及其弱点,唯一能够明显缓解攻击的策略是限制服务器与可信机器间的交互作用意思就是只有客户端、服务器端和产品之间在有着合法的程序关系情况下,才能允许二者间进行通信;但是怎样才能拥有合法的程序关系呢,那就要使用realtek sdk了

瑞昱公司(realtek)、友讯科技(d-link)、趋势网络(trendnet)及其他(更多受影响的厂商没有完整披露)

由于使用了realtek瑞昱公司存在漏洞的软件开发工具包(sdk),友讯科技、趋势网络以及其他品牌路由器很容易被攻击者远程执行任意代码

目前尚不清楚有多少办公室和家庭路由器受此影响,但研究者认为所有使用商贸流通行业 政策realtek sdk miniigb二进制的设备都存在安全隐患

影响范围

友讯科技和趋势网络的无线路由器漏洞并不鲜见今年初,研究人员发现一些与ncc/ncc2有关的漏洞存在于设备中二者都发布了固件更新以解决这个问题

瑞昱miniigd soap服务器上存在一个严重缺陷由于未能在执行系统调用前清理用户数据,导致在处理newinternalclient请求时出现问题

然而,并非所有固件更新都能有效解决安全漏洞问题国内安全专家发现友讯新产品“云路由”使用的固件系统中存在漏洞,黑客可轻易攻破路由器后台,获取用户网银密码等隐私漏洞涉及17个型号,预计全球受影响用户高达300万由此可以看出网络安全问题的商贸行业发展现状覆盖范围越来越广泛