普联 TP-LINK C5400X 电竞路由器存在安全漏洞,目前新版固件已经发布,建议用户尽快升级。黑客利用该漏洞可以提权并远程执行任意代码,包括安装恶意软件或监听流量等。
欧洲网络安全公司 OneKey 日前披露 TP-Link Archer C5400X 电竞路由器存在的高危安全漏洞,借助漏洞攻击者可以远程执行任意命令进而控制整个路由器并监视用户的网络流量。
该漏洞最初是在 2 月份发现并通报给普联欧洲公司的,到 4 月 10 日普联向安全公司分享修复漏洞后的测试版固件进行验证,到 4 月 17 日 OneKey 确认漏洞已经修复。
修复漏洞后普联向受影响的 C5400X 路由器推送固件升级 (1_1.1.7 版),40 天后也就是现在 OneKey 联合普联公布了此次漏洞的完整细节。
rftest 二进制文件存在的安全漏洞:
C5400X 路由器的安全问题主要是用来进行射频测试的 rftest 二进制文件引起,该二进制文件在 TCP 8888、8889、8890 三个端口上公开了网络侦听器。
经过分析该侦听器存在命令注入和缓冲区溢出问题,因此实际上可以达到未经验证的用户以管理员身份在路由器上执行任意命令。
能够执行任意命令意味着路由器已经不安全,因为黑客可以通过各种恶意代码实现不同的功能,包括但不限于修改 DNS 将用户访问劫持到恶意网站、监听网络流量等。
值得注意的 OneKey 在分析时也发现普联在安全方面的检查还不够,路由器内的客户端可以使用某个暴露的 shell 进行配置,而不安全的编程方法可以远程暴露 shell 并进行利用。
升级最新版固件:
对于使用该路由器的用户来说,接下来就是进入路由器管理界面检查最新版固件进行升级,当然考虑到各种品牌路由器的整体安全性,用户应当定期检查路由器的固件更新,最好全部开启自动更新功能。
尽管开启固件自动更新有时候会翻车(详见: 猪队友系列!华硕推送错误更新导致全球华硕路由器大断网),但基于安全性考虑开启自动更新确实有助于提升安全性。
注:C5400X 路由器并不是面向国内用户推出的,或者国内版的不是这个型号。