Web GUI 密码恢复和暴露安全漏洞
NETGEAR 发现在禁用密码恢复功能的情况下存在暴露 web GUI 登录密码的安全问题。当攻击者可以访问内部网络或在路由器上启用远程管理时,就会出现此漏洞。远程管理功能默认关闭;用户可以通过高级设置打开远程管理。
以下受影响设备现在可进行固件修复。如需下载修复了密码恢复漏洞的固件版本,请单击您机型的链接,然后访问固件版本页面查看说明:
- R8500
- R8300
- R7000
- R6400
- R7300
- R7100LG
- R6300v2
NETGEAR 对以下设备进行了测试,并确认这些设备不受网页密码恢复漏洞影响:
- DGN2200v4
- V6510
对于以下受影响设备,NETGEAR 建议按此文章中说明的处理程序进行操作。
路由器型号和固件版本:
- R6200 v1.0.1.56_1.0.43
- R6200v2 v1.0.3.8_10.1.6
- R6250 v1.0.4.2_10.1.10
- R6300 v1.0.2.78_1.0.58
- R6700 v1.0.0.26_10.0.26
- R6900 v1.0.0.4_1.0.10
- R7900 v1.0.1.4_10.0.12
- R8000 v1.0.3.4_1.1.2
- VEGN2610 v1.0.0.36
- AC1450 v1.0.0.34_10.0.16
- WNR1000v3 v1.0.2.68_60.0.93
- WNDR3400v2 v1.0.0.48_1.0.75
- WNDR3400v3 v1.0.1.4_1.0.52
- WNR3500Lv2 v1.2.0.34_40.0.75
- WNDR3700v3 v1.0.0.40_1.0.32
- WNDR4000 v1.0.2.4_9.1.86
- WNDR4500 v1.0.1.44_1.0.73
- WNDR4500v2 v1.0.0.60_1.0.38
有线网关型号和固件版本:
- C6300 v2.01.14
DSL 网关型号和固件版本:
- D6400 v1.0.0.44
- D6220 v1.0.0.12
- D6300 v1.0.0.96
- D6300B v1.0.0.40
- DGN2200Bv4 v1.0.0.68
如您的受影响产品尚无可用的固件修复版本,NETGEAR 强烈建议您按照以下处理程序操作,以修复漏洞:
- 在您的设备上手动启用密码恢复功能。
如需更多信息,请访问配置路由器管理密码恢复。 - 确保已禁用远程管理。
默认禁用远程管理。有关更多信息,请参阅 http://www.netgear.com/support/ 处的产品用户手册。
如果您未完成这两个步骤,则仍然可能存在密码暴露风险。如因未按照此通知的建议操作造成的任何后果,NETGEAR 概不负责。
我们非常欢迎您向我们提出任何安全问题,并对此高度重视。NETGEAR 持续监控已知和未知威胁。积极主动而非被动地应对新出现的安全问题,是 NETGEAR 产品支持的基础。
NETGEAR 的使命是成为创建互联世界的创新领导者。为了达成这一使命,我们努力赢得那些将 NETGEAR 产品用于连接的客户的信任,并竭力维护这种信任。
如果您有任何安全问题,请发送电子邮件至 security@netgear.com 联系我们。