路由器的三大安全漏洞

美国联邦贸易委员会(FTC)起诉D-Link，因其路由器和摄像头安全性不足，将消费者最敏感的个人数据置于危险之中。D-Link曾因发布缺乏基本安全措施的产品以及在这些产品中发现安全问题时响应缓慢而受到批评。

这一话题的最新更新显示，D-Link已同意进行近10年的安全审计，以解决FTC诉讼，同时进行必要的安全增强，以保护用户数据。联邦贸易委员会消费者保护局局长安德鲁史密斯表示：“互联设备的制造商和销售商应该意识到，联邦贸易委员会将要求D-Link对使用户数据面临泄露风险的故障负责。”

技术概述

红柯Vdoo的安全研究团队不断从安全和安保领域对行业领先的物联网产品进行广泛研究，包括网络设备和路由器。继最近FTC对D-Link产品的诉讼更新后，红柯Vdoo的安全研究团队使用Vdoo的自动化安全和分析解决方案Vision自动分析各种网络设备。结果表明，大多数连接的嵌入式设备没有得到很好的保护。可以看出，D-Link可能不是唯一一家未能实施安全最佳实践的制造商。

通过路由器的固件二进制文件进行分析。详细报告中显示了每台路由器的分析结果。这些报告揭示了一些潜在的零日漏洞以及与所分析设备相关的许多关键安全问题。这里有三个关键的安全问题。

愿景确定的主要威胁

阅读

以下是在分析的路由器中发现的三个关键安全问题。每个问题都通过安全要求来解决，安全要求解释了发现的安全问题，详细说明了这些问题的含义以及供应商应该采取什么措施来降低风险。

红柯

1.编译多个没有关键安全标志的二进制文件。

2.私钥存储在设备上。

3.在CGI脚本中执行Shell命令。

安全问题的影响

阅读

安全要求实施不充分可能会增加远程攻击者成功使用设备或嗅探敏感数据的可能性。攻击成功后，攻击者可以：完全控制设备-更改设备配置-访问用户的浏览历史和传输的数据-安装恶意软件将设备添加到僵尸网络，这可能允许攻击者执行其他操作性恶意任务，如DDoS攻击和密码货币挖掘-将设备用作网络的穿透点(执行水平移动)-操纵传输的数据执行网络钓鱼攻击卡详细信息，这可能允许攻击者获得用户名、密码和信用等敏感信息。

给设备制造商的建议

在开发阶段实现安全性

安全问题不能只在事后考虑，因为它会导致高成本，例如上市时间延迟或多余的设计更改。如果完全忽视，可能会导致诉讼和声誉受损，就像D-Link的案例一样。

强烈建议供应商在整个开发生命周期内进行持续的安全检查。为了有效的配置项流程，在自动化服务器和视觉应用编程接口之间建立集成。每次构建完成时，Vision都会自动对其进行分析。视觉分析完成后，开发人员将收到一封电子邮件，其中包含分析结果完整报告的链接。

到目前为止，Vision分析引擎已经生成了900多个安全需求，这些需求仅在与特定分析设备相关时才会显示，从而以平衡和优先的方式简化了实施。此外，视觉分析引擎将发现潜在的漏洞，这些漏洞也包含在被分析设备的报告中。到目前为止，已经在各种产品类型和常见代码库中发现了160多个零日漏洞。

注意：这些漏洞是向供应商披露的最佳方式，在披露期结束且有足够时间修复设备后，将逐步共享。

2.确保符合行业标准

万一发生安全事故，甚至只是为了更好的营销定位，如果供应商能够证明符合领先的行业标准就考虑了安全，那就更好了。标准化机构、监管机构和行业团体正在努力为适当的网络安全设备定义标准。然而，在许多情况下，这些标准很难遵循，因为它们不够详细。

Vision通过绘制与每个标准相关的安全要求，帮助供应商遵守各种法规、行业标准和最佳实践，还可以帮助D-Link遵守国际电工委员会(IEC)的要求。

3.嵌入主动实时保护层

即使在设备投放市场前安全措施落实正确，新的威胁也会不断出现。按需缓解功能可以保护设备免受新的威胁，这可以通过红柯Vdoo ERA的嵌入式运行时微代理来实现。这充当了额外的一层保护，使得攻击者很难利用漏洞或安全漏洞。

附录-红柯视频安防平台

红柯Vdoo是一个端到端的产品安全分析平台，在整个产品生命周期中自动执行所有软件安全任务，确保所有安全问题得到优先处理、沟通和缓解。垂直独立的平台使各行业的设备制造商和部署者能够跨多个业务线扩展其产品安全功能。红柯Vdoo对连接产品的自动保护方法，大大缩短了上市时间，降低了资源需求，增加了销量，降低了整体风险。

负责编辑：法律援助会