（四）多款D-LINK路由器产品存在后门漏洞

D-LINK部分路由器使用的固件版本中存在一个人为设置的后门漏洞（收录编号：CNVD-2013-13777）。攻击者通过修改User-Agent 值为“xmlset_roodkcableoj28840ybtide”（没有引号）即可绕过路由器Web认证机制取得后台管理权限。取得后台管理权限后攻击者可以通过升级固件的方式植入后门，取得路由器的完全控制权。

二、漏洞影响评估

CNVD对上述漏洞的评级均为“高危”。主要攻击途径为相邻网络攻击（即与路由器产品在同一局域网内），其中部分产品由于未做好内部ACL控制，可以从互联网侧上发起攻击。目前确认受影响的产品列表参见附件，国内外安全机构和研究者还在对第一节（一）中所述漏洞进行相关网络设备产品测试，预计受漏洞影响的产品范围还将进一步扩大。

三、漏洞处置建议

目前，Cisco已经提供了部分产品的解决方案，其余设备厂商尚未针对所述漏洞提供解决方案。由于网络设备产品升级较一般的应用软件产品有更大难度，因此相关用户需进一步加强安全威胁防范：

（一）密切关注网络设备32764、23等特定端口的异常连接，同时做好上述端口的访问权限控制，禁止无关外部IP和用户访问上述端口；

（二）对网络访问过程可能出现的网站异常跳转、钓鱼网站推送等现象提高警惕，如出现上述情况，需重点排查是否存在因设备被控制篡改导致的DNS劫持情况。

注：个人研究者黄彩虹提供了CNVD-2013-15013漏洞信息；工业和信息化部电信研究院对Cisco和Linksys设备后门漏洞（CNVD- 2014-00243）部分产品实例进行了验证；CNVD于10月底对CNVD-2013-13777漏洞进行了详细测试并发布了预警通报。

附件：受后门漏洞影响的产品列表