AVM摊事了：无法实施常见的安全技术,泄露管理账户,可被完全控制！

本篇文章1267字，读完约3分钟

Avm是一家消费电子公司，于1986年在德国柏林成立。该公司生产通信和网络设备，如dsl、isdn、无线和voip产品。弗里茨。Box是德国avm有限公司生产的一系列家庭网关设备。流行的弗里茨！盒子系列。

但是在七月，弗里茨！在箱式漏洞安全调查中，研究人员称结果令人震惊，并发现在调查的46台路由器中存在多个漏洞，其中16台已经一年多没有收到安全更新。许多路由器中有数百个已知的漏洞，即使路由器被更新，许多已知的漏洞也无法解决。

受影响的设备

根据漏洞调查的结果，基于linux内核版本2.6.36或更早版本的还有fritz！操作系统版本6.83(弗里茨！盒固件)将受到影响。

过时的系统固件漏洞

大多数被检查的路由器都运行在linux上(91%)。然而，一个问题是这些通常是旧版本。例如，超过三分之一的路由器使用linux内核版本2.6.36或更低版本。2.6.36的最新更新于2011年2月发布。对他们大多数人来说，弗里茨！2017年发布的6.83版本是最常用的操作系统。在过时的linux版本和弗里茨！在操作系统固件下，无法实现常见的安全技术，导致许多漏洞。

fritzbox固件中的漏洞可能使攻击者能够访问家庭网络中启用ip的设备的信息。利用此漏洞的攻击通过所谓的dns重新绑定来工作。攻击者最初诱使潜在受害者访问包含恶意javascript代码的准备好的网页。在第一次通过他控制的dns服务器呼叫后，攻击者改变了他网站的ip地址。它可以是客人家庭网络的ip地址。脚本现在访问这个地址。这种攻击应该会阻塞防火墙路由器本身的过滤规则。但是弗里茨！框中的过滤器显然仅适用于ipv4，但不适用于或仅不足以用于较新的ipv6

硬编码漏洞

部分研究集中于硬编码密码的存在。这些密码不能被用户更改，它们对每个产品都是一样的，不能被系统管理员简单地禁用。弗里茨正在接受调查！盒子的很大一部分使用硬编码密码。

硬编码密码漏洞影响了avm的弗里茨！该产品的主要功能是允许管理员远程安装和维护部署在avm中的通信设备(集成ip电话、视频和语音邮件)及其用户的相关服务。未经身份验证的本地攻击者可以利用此漏洞，感染同一网络中的其他设备，通过ssh将其连接到受影响的系统，将其权限升级到根级别，然后接管整个linux系统。这不仅会导致管理用户名和密码的泄露，还会使完全控制弗里茨成为可能！设备。

主要更新

7月7日-avm发布了其操作系统的新版本:fritz！os 7.20 .通过此次更新，用户可以获得更好的性能，包括强大的网状wifi、快速vpn连接和高质量的网络存储。此外，avm还提供智能家庭网络，电话和弗里茨！Fon带来更多的便利。有了新的加密标准wpa3，该更新可以提高安全性。此外，由于新的电话呼叫标准和基于tls的dns支持，可以提供更多的保护。然而，该官员说，只有顶级路由器弗里茨！盒子7590可以更新，新弗里茨！操作系统将逐渐变得可供其他弗里茨使用！产品。无法更新最新系统的弗里茨！对于产品，建议用户及时更新固件以增强安全性。

来源：搜狐微门户