DGN2200v4 命令执行和 FTP 不安全根目录安全漏洞

NETGEAR 发现了会影响 DGN2200v4 调制解调路由器的命令执行和 FTP 不安全根目录安全漏洞，获知路由器管理员密码的黑客可借此注入 OS 命令，从而可以后门控制路由器并修改网络流量，以及访问根目录中的文件。

我们正在测试 DGN2200v4 固件的更新版本，以尽快修复此漏洞。NETGEAR 计划于 2016 年 11 月底发布此固件。

同时，NETGEAR 建议采取以下操作：

• 更改调制解调路由器的管理员密码并确保其安全，进而减少利用命令执行漏洞的机会。要更改此密码，请登录调制解调路由器，选择高级 > 管理 > 设置密码，填写字段后，点击应用按钮保存更改。
• 确保您的调制解调路由器已禁用 FTP。DGN2200v4 调制解调路由器默认禁用 FTP。要检查设置，请登录调制解调路由器，选择高级 > USB 存储 > 高级设置，确保未选中 FTP 复选框。如已选中，请清除选择并点击应用按钮保存更改。

关于 DGN2200v4 调制解调路由器的更多信息，请查看产品使用手册，手册可在 http://www.downloads.netgear.com/files/GDC/DGN2200V4/DGN2200v4_UM_29Oct2015.pdf 下载。

注：若未按所述建议步骤完成操作，已获知路由器管理员密码的黑客仍有可能注入 OS 命令，从而可以后门控制路由器并修改网络流量，以及访问根目录中的文件。对于本可按建议步骤通过更改管理员密码而避免的任何损失，NETGEAR 概不负责。

在更多信息可用时，NETGEAR 将更新此知识库文章。

如果您有任何安全问题，请发送电子邮件至 security@netgear.com 联系我们。

我们非常欢迎您向我们提出任何安全问题，并对此高度重视。NETGEAR 持续监控已知和未知威胁。积极主动而非被动地应对新出现的安全问题，是 NETGEAR 产品支持的基础。

NETGEAR 的使命是成为创建互联世界的创新领导者。为了达成这一使命，我们努力赢得那些将 NETGEAR 产品用于连接的客户的信任，并竭力维护这种信任。