Linksys无线路由器中出现多个漏洞 补丁尚未发布

作者：Eduard Kovacs

翻译：360代码卫士团队

SEC Consult公司发布安全公告指出，Linksys公司已证实称Linksys E900、E1200和E8400AC2400产品易受漏洞影响。SECConsult公司测试的是E2500设备，但认为E900-ME、E1500、E3200、E4300和WRT54G2路由器也受影响。

研究人员共发现了五种类型的漏洞并已提供了所有的PoC例子。这些漏洞类型包括：

• 拒绝服务

• HTTP头注入

• 不正确的会话保护

• 跨站请求伪造

• 跨站脚本问题

研究人员分析指出，攻击者能组合不同类型的漏洞实施永久性拒绝服务条件、将用户重定向至恶意网站、更改设备配置并在受害者浏览会话的上下文中执行恶意代码。

SEC Consult公司已建议用户注意Linksys公司发布的补丁并尽快予以应用。同时，用户可通过限制对设备的网络访问权限来阻止攻击。

这并非研究人员第一次在补丁发布前从Linksys路由器中发现漏洞。4月份，IOActive公司表示从设备中从支持智能WiFi功能的设备中共发现10个漏洞。当时虽然Linksys公司尚未发布补丁，但确实提供了一些缓解措施。