數(shù)以百萬(wàn)計(jì)的家庭互聯(lián)網(wǎng)路由器向Cyber??attack開(kāi)放

目前在家中使用的大多數(shù)路由器都具有“訪客網(wǎng)絡(luò)”功能，為朋友，訪客和承包商提供了在沒(méi)有(看似)讓他們?cè)L問(wèn)核心家庭網(wǎng)絡(luò)的情況下上網(wǎng)的選項(xiàng)。不幸的是，以色列內(nèi)蓋夫本古里安大學(xué)研究人員發(fā)布的一份新報(bào)告現(xiàn)在表明，啟用此類訪客網(wǎng)絡(luò)會(huì)帶來(lái)嚴(yán)重的安全漏洞。

這意味著你的管道工或電話工程師可能不會(huì)雇用黑客，所以不要讓他們上網(wǎng) - 這是路由器的架構(gòu)有一個(gè)核心漏洞，它可以在安全和更少之間造成污染安全的網(wǎng)絡(luò)。問(wèn)題更可能發(fā)生在具有基本內(nèi)部訪問(wèn)權(quán)限的打印機(jī)或物聯(lián)網(wǎng)設(shè)備上，但您認(rèn)為它無(wú)法訪問(wèn)互聯(lián)網(wǎng)。

因?yàn)槁酚善鞅旧泶嬖谶@種污染，對(duì)任一網(wǎng)絡(luò)的攻擊都可能打開(kāi)另一個(gè)網(wǎng)絡(luò)，導(dǎo)致數(shù)據(jù)泄露或惡意攻擊。這意味著對(duì)安全性較差的訪客網(wǎng)絡(luò)的攻擊將允許從核心網(wǎng)絡(luò)收集數(shù)據(jù)并通過(guò)互聯(lián)網(wǎng)傳遞給威脅行為者。這些都不會(huì)被基于軟件的防御解決方案所捕獲。

該研究團(tuán)隊(duì)通過(guò)“克服”“使用特制網(wǎng)

實(shí)際上這意味著路由器過(guò)載，使其回到其隱蔽的內(nèi)部架構(gòu)上，試圖測(cè)量和管理自己的性能。“阻止這種形式的數(shù)據(jù)傳輸更加困難，因?yàn)樗赡苄枰獙?duì)路由器進(jìn)行體系結(jié)構(gòu)更改。”研究人員聲稱，必須為兩個(gè)網(wǎng)絡(luò)提供共享硬件資源才能使路由器正常運(yùn)行。

同樣的問(wèn)題影響了在沒(méi)有物理網(wǎng)絡(luò)分離的情況下運(yùn)營(yíng)多個(gè)網(wǎng)絡(luò)的企業(yè) - 但組織網(wǎng)絡(luò)安全引入了圍繞登錄數(shù)量和不同靈敏度水平的其他漏洞。氣隙和接入點(diǎn)控制與此處報(bào)告的水平不同。但幾乎所有流行的路由器現(xiàn)在都提供了訪客網(wǎng)絡(luò)的便利性，并且研究人員警告說(shuō)“所有被調(diào)查的路由器 - 無(wú)論品牌或價(jià)格點(diǎn) - 都至少容易受到某些跨網(wǎng)絡(luò)通信的影響”，這是一個(gè)問(wèn)題。應(yīng)首先關(guān)注家庭用戶。

雖然可以部署軟件工具來(lái)填補(bǔ)未發(fā)現(xiàn)的一些漏洞，但研究人員認(rèn)為，在不關(guān)閉功能的情況下關(guān)閉漏洞需要“基于硬件的解決方案 - 保證安全和非安全網(wǎng)絡(luò)設(shè)備之間的隔離”。沒(méi)有硬件分離不同網(wǎng)絡(luò)就沒(méi)有辦法保證安全。

隨著數(shù)十億新物聯(lián)網(wǎng)設(shè)備的購(gòu)買(mǎi)和連接，我們家庭和企業(yè)的安全水平變得更加關(guān)鍵，更難以管理。這里的底線是，即使提供對(duì)似乎沒(méi)有任何外部連接的物聯(lián)網(wǎng)設(shè)備的限制訪問(wèn)，仍然可以允許該設(shè)備攻擊核心主機(jī)網(wǎng)絡(luò)。鑒于大多數(shù)物聯(lián)網(wǎng)設(shè)備將被連接和遺忘，我敢說(shuō)它是在制造的，這是一種曝光。

測(cè)試硬件的供應(yīng)商已被告知研究結(jié)果 - 我們期待看看是否有任何變化。

與此同時(shí)，您的訪客網(wǎng)絡(luò)是否受到外國(guó)或國(guó)內(nèi)代理商的攻擊 - 您是否應(yīng)該恐慌并拔掉插頭?當(dāng)然不是。但是有一個(gè)漏洞 - 它是真實(shí)的，它已經(jīng)過(guò)測(cè)試和報(bào)告。簡(jiǎn)單地說(shuō)，路由器使用的基于軟件的網(wǎng)絡(luò)隔離不是防彈的，應(yīng)該是。因此，建議與無(wú)論如何都是一樣的 - 考慮是否需要訪客網(wǎng)絡(luò)以及哪些設(shè)備和哪些人連接到您的系統(tǒng)。絡(luò)流量”兩個(gè)不同網(wǎng)絡(luò)之間的邏輯網(wǎng)絡(luò)隔離來(lái)暴露漏洞。通過(guò)這種方式，可以使通道“在主機(jī)網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)之間泄漏數(shù)據(jù)”，并且報(bào)告警告即使攻擊者“對(duì)受感染設(shè)備的權(quán)限非常有限，甚至是iframe托管惡意JavaScript代碼可以用于此目的。“

這些方法無(wú)法讓研究人員拉動(dòng)大量設(shè)備，但確實(shí)打破了安全系統(tǒng)并打開(kāi)了大門(mén)。有針對(duì)性的攻擊可能只是尋找某些數(shù)據(jù)，醫(yī)療信息或憑證。即使訪客網(wǎng)絡(luò)沒(méi)有連接到互聯(lián)網(wǎng)，但是可能只有內(nèi)部連接，該漏洞也可以實(shí)現(xiàn)此類攻擊，然后攻擊會(huì)跳出圍欄并向外部參與者提供數(shù)據(jù)。