科技日新月異,各種昔日沿用已久.多年來均相安無事的標準至近年屢屢被破。而繼早前的 USB 介面被揭發有重大漏洞後,日前又有資安研究人員在路由器上發現嚴重的跨廠商軟件漏洞,讓黑客可以隨意監控與存取用戶的路由器資訊。
對物聯網資安發展有重大啟示
被揭發存在於各大品牌路由器中的軟件漏洞名為「Misfortune Cookie」 – 存在於 RomPager 之中:RomPager 由 AllegroSoft 所製造。RomPager 存在於各種路由器、網絡解調器及各種網絡相關設備的韌體中,其功能主要為令路由器的設置介面更友善及人性化,讓用戶可以更輕鬆完成過往複雜的路由器設置.
由資安軟件企業 Check Point 研究人員日前發現 Misfortune Cookie 已存在逾 10 年。此漏洞的應用亦異常地簡單:黑客只需要向目標路由器發推出特製的要求,就可以取得其管理員權限,繼而可以對處於同一網絡的裝置發動攻擊。
除對處於同一網絡的裝置發動攻擊外,黑客更可以藉管理員權限對各種裝置進行監控、修改路由器的 DNS 設定、取得各種帳戶密碼等行動,令用戶安全受到嚴重威脅。
更嚴重的是,此漏洞影響市面上逾 200 款網絡裝置產品,當中包括如 D-Link、Edimax、華為、TP-Link、中興、ZyXEL 等知名品牌。
Misfortune Cookie 的嚴重性非只限於網絡安全的層面,在近年鬧得熱烘烘、主張連結起所有裝置:甚至建立智能房居的物聯網而言,此可謂一重大警惕。但於物聯網的相關標準仍在制定階段的時候,Misfortune Cookie 或許給予各大廠商一點啟示。
Source:The Hacker News
