NETGEAR 产品漏洞咨询报告:CSRF / LocalFile / XSS
什么是 CSRF/LocalFile/XSS 漏洞?它对我的路由器有何影响?
NETGEAR 发现存在可以让部分 NETGEAR 路由器用户更易受到恶意电子邮件和网站攻击的软件漏洞。黑客可能使用此类电子邮件或网站上运行的脚本登录您的路由器并更改路由器上的设置,就如同他们是路由器管理员一样。脚本可能允许黑客远程访问您的私人网络。
如果我的受影响设备是电力线适配器,会发生什么?
攻击者唯一能做的就是更改适配器设置。攻击者不能访问您的私人网络,也不能查看您的私人数据。
如何防止此攻击?
NETGEAR 发布了一款适合所有受影响型号的固件修复。对于 N450 (CG3000Dv2) 这类线缆产品,在 NETGEAR 将新固件发布给互联网服务提供商以后,由您的互联网服务提供商发布新固件。N450 的固件修复已发布给所有服务提供商。
NETGEAR 强烈建议所有受影响用户都将固件更新至最新版本。
要获得阻止 CSRF / LocalFile / XSS 漏洞的最新固件更新,请在下面单击您机型的链接,然后访问固件版本页面以了解详情和说明:
- CM400
- CM600
- D1500 若要查看较早固件版本(修复了 CSRF 漏洞)的版本说明,请参阅 D1500 固件版本 1.0.0.20。
- D500 若要查看较早固件版本(修复了 CSRF 漏洞)的版本说明,请参阅 D500 固件版本 1.0.0.20。
- DST6501 若要查看较早固件版本(修复了 CSRF 漏洞)的版本说明,请参阅 DST6501 固件版本 1.0.0.36。
- JNR1010v1
- JWNR2000Tv3
- JWNR2010v3
- PLW1000, PLW1010 若要查看较早固件版本(修复了 CSRF 漏洞)的版本说明,请参阅 PLW1000 固件版本 1.0.0.22。
- WNR500
- WNR612v3
- N450 (CG3000Dv2)
此时是否有解决方法?
NETGEAR 建议您访问上方的产品链接,将固件更新至最新版本,即可解决该问题。对于使用线缆产品的客户,NETGEAR 建议联系您的网络服务提供商,询问他们何时向您提供最新版的固件修复。
注:如果未按上述内容完成推荐步骤,则让您设备更易受到恶意电子邮件和网站攻击的漏洞仍将存在。对于由以下两种情形造成的后果,NETGEAR 概不负责:一. 未按此通知中的说明升级固件;二. 在我们将固件更新发布给您的线缆提供商之后,他们未能发布给您。
在更多信息可用时,NETGEAR 将更新此知识库文章。
我们非常欢迎您向我们提出任何安全问题,并对此高度重视。NETGEAR 持续监控已知和未知威胁。积极主动而非被动地应对新出现的安全问题,是 NETGEAR 产品支持的基础。
NETGEAR 的使命是成为创建互联世界的创新领导者。为了达成这一使命,我们努力赢得那些将 NETGEAR 产品用于连接的客户的信任,并竭力维护这种信任。
如果您有任何安全问题,请发送电子邮件至 security@netgear.com 联系我们。