提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

微软已经披露了Netgear路由器中的一系列漏洞，这些漏洞可能导致数据泄露和整个系统受损。

6月30日，微软365 Defender研究团队成员Jonathan Bar， 披露了这些漏洞，这些漏洞在公开披露之前已经修补。 

Bar或说，这三个漏洞影响了DGN-2200v1系列路由器（运行v1.0.0.60之前的固件），“为攻击者打开了大门，让他们在整个组织中不受约束地漫游。”

微软的安全团队在注意到路由器管理端口中的奇怪行为后发现了这些漏洞。虽然通信受到TLS加密的保护，但当应用机器学习模型时，它仍然被标记为异常。 

在进一步调查路由器固件后，安全研究人员发现了三个HTTPd认证缺陷。 

第一个允许团队访问设备上的任何页面——包括那些需要身份验证的页面，比如路由器管理页面——通过在子字符串中的请求中附加GET变量，允许绕过完全身份验证。 

第二个安全漏洞允许侧通道攻击，这是在路由器如何通过HTTP报头验证用户时发现的。如果受到攻击，攻击者可以提取存储的凭据。 

最后，第三个漏洞利用先前的身份验证绕过漏洞提取路由器的配置还原文件，该文件使用常量密钥“NtgrBak”加密，允许远程攻击者解密和提取存储的机密。 

Netgear通过Microsoft安全漏洞研究（MSVR）计划私下了解了安全问题。 

Netgear发布了一份安全公告，对固件漏洞进行了修补 去年12月详细说明了安全漏洞。这些缺陷已被指定为PSV-2020-0363、PSV-2020-0364和PSV-2020-0365，并已发布CVSS严重性得分在7.1到9.4之间，将其评为严重。 

Netgear建议客户通过访问Netgear支持，在搜索框中键入型号，然后下载最新固件版本，来安装适用于其路由器的最新固件。或者，可以通过Netgear应用程序访问更新。 

“通过VPN设备和其他面向互联网的系统进行的固件攻击和勒索软件攻击的数量不断增加，这是在操作系统层内外发起的攻击的例子，”微软说随着这些类型的攻击变得越来越常见，用户甚至必须确保运行其硬件的单一用途软件（如路由器）的安全。”

之前及相关报道Netgear发布了高性能Netgear夜鹰Wi-Fi路由器go mesh Netgear Q4 rides Wi-Fi路由器，mesh网络升级周期

有提示吗？通过WhatsApp |信号+447713 025 499安全联系，或者在Keybase:charlie0

哥伦比亚警察项圈疑似Gozi特洛伊木马发行商

中国黑客组织冒充阿富汗总统潜入政府机构

罗比尼奥被勒令支付7000万美元，赔偿给“数百万”交易员造成的“伤害”

2021年最佳家庭办公室降温：击败夏季酷暑

注册即表示您同意使用条款并确认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37