预警！斐讯K1 PSG1208路由器原厂固件存在高危漏洞！[转贴]

3fl3oy 发表于 2016-3-28 13:15:45

乌云漏洞平台已经公开两个关于斐讯K1 PSG1208的高危漏洞

一为涉嫌收集用户信息并可能泄露

二为存在路由可被内网任意下载路由配置文件无需管理密码、

报告链接：http://wooyun.org/bugs/wooyun-2015-0163398
http://wooyun.org/bugs/wooyun-2015-0163402

路由配置文件包含了路由所有的设置参数。包括路由管理密码，wifi密码。MAC白名单等等。
内网可被任意获取代表路由管理密码成为空设。只要连接wifi均可获取管理密码任意进入路由管理界面

http://haitao.8x6x.com:899/123/5483-147_14_db436aeb2e60d18.gif5828
http://haitao.8x6x.com:899/123/3372-147_14_f262d36d19c6aed.gif5828
http://haitao.8x6x.com:899/123/319-147_14_390f185fdae7aad.gif5828
http://haitao.8x6x.com:899/123/4701-147_14_acc568fb9d3b40a.gif5121
http://haitao.8x6x.com:899/123/11699-147_14_ac14156ac7321d4.gif5121
http://haitao.8x6x.com:899/123/5832-147_14_912fbaf445616f5.gif5121
至于收集用户信息，放乌云原帖截图你们感受一下：

http://haitao.8x6x.com:899/123/30365-147_14_afc62f6bf3e5650.png11298

http://haitao.8x6x.com:899/123/27035-147_14_9b4992a1764cbf9.png6623
这是上传信息的斐讯FTP站点

http://haitao.8x6x.com:899/123/18026-147_14_98044d6fbe50814.png46450
是的，你所有访问过的网站均有记录。

截止至北京时间2016年2月10日。斐讯官方目前并未修复上述两个漏洞

本人已验证过Pandavan ASUS固件不存在上述漏洞，Pandora Box未经测试（本人认为可以放心）
其他第三方也并未测试

在斐讯官方未作出修复回应及升级固件之前，
推荐将原厂固件刷为上述两个第三方固件以避免漏洞。

说下个人意见：单论路由而言，配置不错，性能满足普通家用。而且也保持了成功返现。

但是，斐讯是不可能空手而归的。只是这次被“捉奸在床”罢了。

天下没有免费午餐。大家在捡便宜的时候。谨记这一点。

本次事件，希望理性看待，认真对待，谨记教训。

拆机：http://bbs.mydigit.cn/read.php?tid=1525037

gx4mselh 发表于 2016-3-28 13:15:45

我买的斐讯路由还行没明显的卡

dwcxmr 发表于 2016-3-28 13:15:45

几个月前家里无线路由坏了，当时想买斐讯呢，后来在论坛里搜了下发现大家都推荐水星，所以买了水星的，看来是选对了

gpen1op 发表于 2016-3-28 13:15:45

买这个没多少人会用原厂固件吧！虽说我到手一个月了一直没空折腾呢！

rfzu63rn 发表于 2016-3-28 13:15:46

又是炒冷饭…已经有人发过了………

tn39w42 发表于 2016-3-28 13:15:46

本帖最近评分记录：共9条评分，M币+30
mirocusM币 +3謝謝分享02-29
rubygoM币 +3謝謝分享02-26
hgk117M币 +3謝謝分享02-25
小陈兔M币 +2謝謝分享02-25
dzbM币 +3謝謝分享02-24
hunhunM币 +3熱心助人02-16
佳维M币 +5謝謝分享02-13
任明碧M币 +3熱心會員02-11
200birdsM币 +5-02-10

关键词： PHICOMM斐讯漏洞
明艳不可方物！魅色手电精灵，最短小便携的不锈钢18650小直！（支持M币换购）回复举报

离线gz00

http://haitao.8x6x.com:899/123/7-18.jpg
UID：1600296注册时间2014-01-09 最后登录2016-03-28 在线时间119小时发帖113 搜Ta的帖子精华0 M币-164专家0 访问TA的空间加好友用道具
http://haitao.8x6x.com:899/123/7-18.jpg
数码5级
http://haitao.8x6x.com:899/123/4973-2.gif

http://haitao.8x6x.com:899/123/16270-shequjumin.png

发帖113M币-164专家0粉丝5加关注发消息只看该作者 1楼发表于: 02-10

我买了，路由信号好差，我给扔一边了

j2512dsd 发表于 2016-3-28 13:15:46

360有后门不用
，斐讯搜集个大数据访问网址也是后门，也是后门，醉了
，你认为你那点破事也谈得上叫秘密
？没准是那个程序员无聊想收集下你们收藏的小电影网址呢

hxgjl8 发表于 2016-3-28 13:15:46

感觉这免费午餐不好吃，没撸！

7k1cwn8 发表于 2016-3-28 13:15:47

像这种官方原厂固件有漏洞的是不是刷了第三方固件例如openwrt（先假设第三方固件安全）是不是就没问题了？还是刷了也没用，漏洞依旧存在？

m9kdc01p 发表于 2016-3-28 13:15:47

这年头什么阿猫阿狗都来做路由器
不如买水星1200R了，反正都是假千兆，还是老牌子靠谱点

页: [1]

网云科技's Archiver

预警！斐讯K1 PSG1208路由器原厂固件存在高危漏洞！[转贴]