D-Link 路由器遭爆有後門漏洞

研究人員在/dev/ttys0上揭露D-Link部份路由器產品所使用的韌體版本v1.13存在後門漏洞，駭客利用該漏洞可略過管理者帳號、密碼驗證，在未經授權下進入路由器管理頁面，控制路由器各項功能。

專門研究嵌入式裝置安全問題的/dev/ttys0揭露國內知名網通品牌友訊科技（D-Link）旗下部份路由器產品管理平台存在漏洞，可在未經過使用者授權下進入路由器管理介面，控制設定路由器功能。

根據/dev/ttys0所揭露的訊息，D-Link旗下部份路由器被發現安全漏洞，利用該漏洞跳過管理權限控制，受影響D-Link路由器機型包含DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+及TM-G5240等。另外，日商Planex的兩款路由器BRL-04UR、BRL-04CW也因使用相同韌體存在同樣的安全風險。

正常情形下使用者需通過帳號、密碼驗證才能登入管理頁面，但被發現的漏洞可讓第三方不需經過驗證，就能直接控制路由器。該漏洞存在於路由器韌體v1.13版本，只要修改瀏覽器上的使用者代理字串（user agent string）為xmlset_roodkcableoj288409ybtide，就能略過登入程序直接進入管理頁面，控制路由器各項功能。

揭露該漏洞的Craig猜測該後門漏洞存在的原因可能因開發者為了讓某些程式、服務可以自動依需要修改路由器功能而設計，但是這個後門漏洞也允許其他人在使用者不知情、未授權情形下使用，存在安全管理上的風險。

記者向D-Link詢問路由器後門漏洞，但截至截稿為止，D-Link尚未針對旗下的路由器存在的後門風險作出回覆。

部份可能受影響的D-Link路由器推出已有一段時間，建議使用者更新路由器韌體版本，並將路由器的開放公開存取設定功能關閉，以避免他人存取路由器管理頁面。
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第351波大放送) : 人人回帖有獎勵
(第350波大放送) : 人人回帖有獎勵
(第349波大放送) : 人人回帖有獎勵
(第348波大放送) : 人人回帖有獎勵
(第347波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>


★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                          **以上報告完畢**                          ★
★     如果可以的話,幫我評個分數或是送一多花給我^^          ★
★     您的評分與鮮花,是我下次再發帖的原動力                   ★
★                                 謝謝~                                   ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                   2013/10/14 By 游幃翔

不會吧~
d-link有漏洞~
還好小弟已經不用d-link有一段時間了~
小弟早就改用其它的牌子了~~
呼~~