Netgear三款路由器固件爆重大漏洞，允骇客入侵网络

卡内基美隆大学的CERT协调中心（CERT/CC）上周公布知名网络设备厂商Netgear两款路由器产品的固件存在重大漏洞，可让骇客注入任意指令码并入侵用户网络，并且已有攻击程式蔓延。相关社群指另一款产品R8000也有相同漏洞。
 
根据CERT通报，Netgear R7000执行的1.0.7.2_1.1.93及之前版本，以及R6400执行的1.0.1.6_1.0.4及之前版本固件中的任意指令注入漏洞，只要诱骗使用者造访被特意改造过的恶意网站，远端攻击者就能入侵这些路由器，并以根目录权限执行任意指令。另外，同一局域网络(LAN)的攻击者也可以发出直接呼叫，像是http:///cgi-bin/;COMMAND，获致同样结果。
 
CERT安全研究小组将该漏洞的CVSS评分根据基本、时间及环境三个群组，分别列为9.3、9.3及7.0（满分10分），属于重大风险漏洞。
 
除了上述两款路由器机种的漏洞获得证实外，社群认为R8000执行的1.0.3.4_1.1.2版本固件，以及其他款机种也有这项漏洞。
 
CERT/CC小组表示，网络上已经有针对这项漏洞的攻击程式在蔓延中，同时目前并未发现有解决方法，因此呼吁用户在修补程式释出前最好先停用上述产品。