搜索
查看: 2294|回复: 1

输入 &genie=1 不用口令即可登录Netgear路由器

[复制链接]

666

主题

966

帖子

2462

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2462

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2018-2-11 20:36:08 | 显示全部楼层 |阅读模式

如果你正在使用Netgear路由器,是时候打个补丁升个级了。该网络设备制造商刚刚发布了一系列补丁,涉及数十个型号的路由器。

信息安全公司Trustwave的马丁·拉克曼诺夫经过1年的跟踪研究后发现了Netgear固件的诸多漏洞。

解决这些漏洞问题的软件补丁如今已经发布,用户应确保尽快确定设备型号,并安装对应补丁,以防恶意黑客和僵尸网络利用漏洞劫持宽带网关和无线接入点。

有17个型号的Netgear路由器带有远程身份认证绕过漏洞,与设备处在同一局域网或可从互联网上访问设备配置页面的恶意软件,无需提供口令即可获取设备控制权。而且方法很简单,在URL栏填入&genie=1就行。

这对开启了远程配置的脆弱网关来说绝对是个坏消息,因为互联网上的任何人都可以利用这个漏洞控制该路由器,修改其DNS设置,重定向浏览器到恶意站点。

另有17款Netgear路由器(其中有部分与上面17种有所重合)带有类似漏洞,存在于其内置Web服务器提供的genie_restoring.cgi脚本中,可被用于从闪存文件系统中抽取文件和口令,甚至还能用来盗取插入该路由器的U盘上的文件。

其他型号虽然问题没那么严重,但为防万一,还是应该打上补丁。比如说,点击WiFi防护设置按钮后,6款Netgear路由器会开放2分钟的窗口时间,攻击者就可利用这2分钟以root权限在该路由器上远程执行任意代码。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
回复

使用道具 举报

0

主题

11

帖子

32

积分

新手开车

Rank: 1

积分
32
发表于 2018-2-12 05:19:57 来自手机 | 显示全部楼层
好快无线吗?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表