Linksys路由器被曝多个漏洞

“攻击者能够经过向网络配置发送通过身份验证的HTTP请求来利用这些漏洞。攻击者能够得到在计算机上任意执行代码的能力，”Cisco Talos研究员说。

Rittle测试了针对两个Linksys路由器型号Linksys E1200和Linksys E2500的概念验证，但根据他的建议，Linksys E系列产品中还有其余易受攻击的路由器。

E系列是专为小型企业和家庭办公室使用而设计的路由器，具备许多功能，能够使从计算机和智能电视到智能手机和游戏机的各类设备无线链接变得更加容易。

全部漏洞都是由“对NVRAM传递和检索的数据的不正确过滤”引发的，这致使执行任意系统命令。

只有在已通过身份验证的状况下，攻击者才能利用这三个漏洞

为了利用这三个安全问题，攻击者能够使用他们输入的数据“经过门户网站进入'路由器名称'输入字段”或路由器基于网络的控制面板中的“域名”输入字段“apply.cgi”页面将系统命令发送到NVRAM。

思科Talos于7月9日向Lynksis披露了这三个问题，供应商于8月14日修补了E1200路由器，10月4日修补了E2500。

一样重要的是要提到坏的角色须要首先进行身份验证才能利用这些漏洞。然而，成功利用它们使路由器彻底控制路由器的事实大大增长了三个问题的严重性。

这三个漏洞已在Common Vulnerabilities and Exposures数据库中收到CVE-2018-3953，CVE-2018-3954和CVE-2018-3955标识号。

建议受影响路由器的全部Linksys用户更新其设备的固件（.BIN），可在Lynksis固件更新服务器上下载。

原文来自：https://www.linuxidc.com/Linux/2018-10/154867.htm

本文地址：https://www.linuxprobe.com/linksys.html编辑：周晓雪，审核员：逄增宝