Netgear淡化了在其WNR2000系列路由器中新发现的漏洞的重要性。
安全研究人员Pedro Ribeiro发现该漏洞,他表示远程攻击者能够利用该漏洞执行代码,不经过身份认证接管设备。
它是基于LAN的攻击,但如果在路由器中启用远程管理,也可以通过互联网利用。
Ribeiro在没有收到Netgear的回应情况下,于上周公布了该漏洞。
Netgear在回复媒体时承认了此漏洞,但淡化了它的重要性:
Netgear已意识到了此安全问题,它在非常有限的情况下会允许远程访问路由器,包括密码恢复和命令执行。当攻击者访问内部网络或在路由器上启用远程管理时会出现此漏洞。不过路由器中的远程管理默认关闭,而且该功能是大多数用户不会使用的高级功能。
Netgear还补充说,计划尽快发布固件更新以修复所有受影响的产品(WNR2000v5, WNR2000v4 and WNR2000v3)。
Ribeiro坚持认为该漏洞比Netgear的回复更严重。他表示使用物联网搜索引擎很容易找到易受攻击的设备。