路由器的三个关键安全漏洞

美国联邦贸易委员会 (FTC)起诉D-Link，因为其路由器和摄像头的安全性不足，将消费者最敏感的个人数据置于危险之中。D-Link因发布缺乏基本安全措施的产品以及在这些产品中发现安全问题时响应迟缓而受到批评。

关于此主题的最新更新表明，D-Link已同意进行近10年的安全审计以解决FTC诉讼，同时进行必要的安全增强以保护用户数据。FTC消费者保护局局长Andrew Smith表示：“连接设备的制造商和销售商应该意识到，FTC将要求D-Link对将用户数据暴露于泄露风险的故障负责。”

技术概述

虹科Vdoo的安全研究团队不断对来自安全和安保领域的行业领先物联网产品进行广泛的研究，包括网络设备和路由器。继最近FTC对D-Link产品的诉讼更新后，虹科Vdoo安全研究团队使用Vdoo的自动化安全和分析解决方案Vision自动分析各种网络设备。结果表明大多数连接的嵌入式设备都没有得到很好的保护。由此可见D-Link很可能不是唯一未能实施安全最佳实践的制造商。

分析是通过路由器的固件二进制文件完成的。每个路由器的分析结果都显示在详细报告中。这些报告揭示了一些潜在的零日漏洞和许多与所分析设备相关的关键安全问题。下面介绍了其中三个关键安全问题。

Vision 发现的主要威胁

READ

以下是在分析的路由器中发现的三个关键安全问题。每个问题都由一个安全要求解决，该要求解释了发现的安全问题，详述了此类问题的含义，以及供应商应采取哪些措施来降低风险。

HONGKE

1.在没有关键安全标志的情况下编译了多个二进制文件。

2.私钥存储在设备上。

3.正在CGI脚本中执行Shell命令。

安全问题的影响

READ

安全要求的不充分实施可能会增加远程攻击者成功利用设备或嗅探敏感数据的概率。成功攻击后，攻击者可以：完全控制设备-更改设备配置-访问用户的浏览历史记录和传输的数据-安装恶意软件以将设备添加到僵尸网络，这可能允许攻击者执行其他操作恶意任务，例如DDoS攻击和加密货币挖掘-将设备用作网络的渗透点（执行横向移动）-操纵传输的数据以执行可能允许攻击者获取用户名、密码和信用等敏感信息的网络钓鱼攻击卡详细信息。

给设备制造商的建议

在开发阶段实施安全

安全问题不能只是事后考虑，因为这可能会导致付出高昂的代价，例如上市时间延迟或冗余设计更改。如果完全忽视，可能会导致诉讼和声誉受损，就像 D-Link的情况一样。

强烈建议供应商在整个开发生命周期中执行持续的安全检查。对于有效的CI流程，构建自动化服务器和Vision API之间的集成。每次构建完成时，Vision都对其进行自动分析。完成Vision分析后，开发人员会收到一封电子邮件，包含分析结果完整报告的链接。

迄今为止，Vision分析引擎生成了900多个安全要求，这些要求仅在与特定分析的设备相关时才显示，以平衡和优先的方式简化实施。此外，Vision分析引擎会发现潜在漏洞，这些漏洞也包含在被分析设备的报告中。迄今为止，已在各种产品类型和通用代码库中发现了 160 多个零日漏洞。

注意：这些漏洞是最佳的方式向供应商披露的，并将在披露期结束，且有足够的时间修补设备后逐步共享。

2. 确保符合行业标准

万一发生安全事件，或者甚至只是为了更好的营销定位，如果供应商能够证明通过遵守领先的行业标准来考虑安全性，则情况会更好。标准化机构、监管机构和行业团体正在努力定义适当的网络安全设备的标准。然而，在许多情况下，这些标准很难遵循，因为这些标准不够详细。

Vision通过绘制出与每个标准相关的安全要求，帮助供应商遵守各种法规、行业标准和最佳实践，同时可以帮助D-Link遵守国际电工委员会(IEC)的要求。

3. 嵌入主动实时保护层

即使在设备投放市场之前在设备中正确实施了安全措施，新的威胁也会不断出现。按需缓解功能可以保护设备免受新威胁的侵害，这可以通过虹科Vdoo ERA嵌入式运行时微代理实现。这充当了额外的保护层，使攻击者很难利用漏洞或安全漏洞。

附录-虹科Vdoo安全性防护平台

虹科Vdoo是端到端的产品安全分析平台，在整个产品生命周期中自动化所以软件安全任务，确保所有安全问题得到优先处理、沟通和缓解。垂直无关的平台使各种行业的设备制造商和部署者能够跨多个业务线扩展其产品安全功能。虹科Vdoo的自动保护连接产品的方法使客户大大缩短了上市时间，减少了资源需求，增加了销售，降低了总体风险。

责任编辑：haq