路由器后门漏洞

通过后门,可以直接控制路由器,进一步发起DNS劫持、窃取信息等攻击行为;

关于路由器后门

后门指绕过安全控制而获取对程序或系统访问权的方法;

在安全新信息系统设计原则中,木桶原则是十分关键的,即:需要对信息均衡、全面地进行保护;

在路由器后门中有几个类别:

  • 开发人员为了方便管理和控制路由器而留下的
  • 发布时遗留的安全漏洞
  • 产商对路由器调试的高级接口登陆设置认证过于简单
  • 人为蓄意留下

一些后门事件

  • D-Link路由器后门:如果浏览器User Agent中包含特殊字符串“xmlset_roodkcableoj29940ybtide",共接着将可以绕过密码验证直接访问路由器的Web界面
  • Linksys TheMoon蠕虫:Linksys路由器存在漏洞,攻击者发送一段shell脚本,使其感染TheMoon蠕虫,感染后的路由器会扫描其他IP地址,在短时间内会zuoweiHTTP服务器供其他被干扰的路由器下载蠕虫代码
  • NETGEAR路由器
    • 后门漏洞:产商设置并留下的超级用户和口令
    • Telnet后门未授权访问:DGN2000路由器的TCP端口32764上监听的Telnet服务没有归档,存在安全漏洞,可人已执行命令
  • Cisco远程特权提升:TCP 32764端口存在未文档化的测试接口,攻击者可以访问设备的LAN接口,导致路由器允许远程攻击者对设备的root级访问权限,并任意执行命令
  • Tenda路由器
    • 无线路由器远程命令执行:发送一个以字符串"w302r_mfg"开头的UDP数据报即可利用,因此触发漏洞执行各类命令
    • 绕过管理员认证:由于Cookie管理机制的脆弱,导致不需要提供密码即可访问Web管理界面
  • 磊科全系列路由器后门
    • 内置的IGDMPTD程序随路由器启动在公网上开放端口,利用该程序执行任意系统命令,上传/下载文件、控制路由器