预警！斐讯K1 PSG1208路由器原厂固件存在高危漏洞！

显示全部楼层 · 发表于 2016-2-9 23:34:37

乌云漏洞平台已经公开两个关于斐讯K1 PSG1208的高危漏洞

一为涉嫌收集用户信息并可能泄露

二为存在路由可被内网任意下载路由配置文件无需管理密码

报告链接：http://wooyun.org/bugs/wooyun-2015-0163398
http://wooyun.org/bugs/wooyun-2015-0163402

路由配置文件包含了路由所有的设置参数。包括路由管理密码，wifi密码等等。
内网可被任意获取，代表路由管理密码成为空设。只要连接wifi均可获取管理密码任意进入路由管理界面。

至于收集用户信息，放乌云原帖截图你们感受一下：

这是上传信息的斐讯FTP站点

是的，你所有访问过的网站均有记录

截止至北京时间2016年2月10日。斐讯官方目前并未修复上述两个漏洞
截屏图片.jpg

本人已验证过Pandavan ASUS固件不存在上述漏洞，Pandora Box未经测试（本人认为可以放心）
其他第三方也并未测试

在斐讯官方未作出修复回应及升级固件之前，
推荐将原厂固件刷为上述两个第三方固件以避免漏洞。

说下个人意见：单论路由而言，配置不错，性能满足普通家用。而且也保持了成功返现。

但是，斐讯是不可能空手而归的。只是这次被“捉奸在床”罢了。

天下没有免费午餐。大家在捡便宜的时候。谨记这一点。

本次事件，希望理性看待，认真对待，谨记教训。

显示全部楼层 · 发表于 2016-2-10 14:38:33

这路由器最近火的一塌糊涂，不过大部分的人拿回来应该都去折腾老毛子的固件去了

显示全部楼层 · 发表于 2016-2-10 21:49:56

士兵许三多发表于 2016-2-10 14:38
这路由器最近火的一塌糊涂，不过大部分的人拿回来应该都去折腾老毛子的固件去了

嗯，我也是到手收了pandavan

显示全部楼层 · 发表于 2016-2-11 10:50:04

再用老毛子的固件

显示全部楼层 · 发表于 2016-2-11 11:05:02

烟丝泡茶发表于 2016-2-11 10:50
再用老毛子的固件

刷了毛子的固件中继信号不稳定

显示全部楼层 · 发表于 2016-2-12 12:48:14

要用这个漏洞得先连上WIFI吧？
不过相信大多数论坛的少年都是刷老毛子的华硕固件了，所以无惧

显示全部楼层 · 发表于 2016-2-13 03:00:00

这玩意咋说。不至于远程吧。自己家用没啥问题。再说这个不刷固件能用？

显示全部楼层 · 发表于 2016-2-13 13:46:19

如这个路由基本都是折腾刷机的，极少看到用原厂。阿苏斯固件用快鸟，很不错。

显示全部楼层 · 发表于 2016-2-13 16:10:00

这个已经不能算是高危漏洞了吧，赤裸裸的后门的说。

显示全部楼层 · 发表于 2016-3-1 11:50:38

拿到手就换了固件

[讨论] 预警！斐讯K1 PSG1208路由器原厂固件存在高危漏洞！