研究員發(fā)現(xiàn)，部分D-Link路由器存在多個漏洞，黑客利用這些漏洞可獲得其全部控制權(quán)，且目前尚無安全補(bǔ)丁發(fā)布。在Linksys路由器中也出現(xiàn)了嚴(yán)重安全漏洞。

波蘭西里西亞工業(yè)大學(xué)（ The SilesianUniversity of Technology）某研究小組發(fā)現(xiàn)了在D-Link路由器中存在的安全漏洞。這些漏洞影響多個系列D-Link路由器httpd 服務(wù)器，包括DWR-116, DWR-111,DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912及 DWR-921。

編號為CVE-2018-10822的目錄遍歷問題是其中的一個漏洞，允許黑客利用簡單的HTTP請求遠(yuǎn)程讀取任意文件。D-Link供應(yīng)商早已得知漏洞CVE-2017-6190的存在，但在其許多產(chǎn)品中該漏洞并未得到修復(fù)。

黑客可利用該漏洞入侵文件，竊取其中儲存的明文密碼。明文儲存密碼是第二個漏洞，編號為CVE-2018-10824。

鑒于該安全漏洞風(fēng)險較大，易遭人利用，研究人員尚未透露儲存管理員密碼文件的具體位置。

一旦通過身份驗證，黑客可利用編號為CVE-2018-10823的第三個漏洞，執(zhí)行任意指令來完全掌控該設(shè)備。

D-Link早在五月就被告知存在這些漏洞，其承諾將為設(shè)備DWR-116 及 DWR-111發(fā)布安全補(bǔ)丁，并在產(chǎn)品維護(hù)期限結(jié)束時顯示安全警告。然而迄今為止，其并未發(fā)布任何補(bǔ)丁，研究人員決定將其研究結(jié)果公之于眾。

同時，確保路由器不能通過互聯(lián)網(wǎng)訪問可緩解安全漏洞風(fēng)險。

Linksys E-Series路由器安全漏洞

研究員在Linksys E-Series 路由器中發(fā)現(xiàn)多個安全漏洞。多個操作系統(tǒng)命令注入漏洞將使設(shè)備易遭黑客入侵，并在其上安裝惡意軟件。

與D-Link產(chǎn)品漏洞不同，只有通過身份驗證的黑客才能利用Talos漏洞，且其供應(yīng)商已發(fā)布安全補(bǔ)丁。