您的D-Link和Comba無線調制解調器可能會泄露您的密碼，這是您可以做的。

看一下專門討論漏洞的文章中的評論，你會發現人們常常會被一些安全漏洞引起的注意力所困擾。實際上，在許多情況下，利用這些漏洞非常困難，以至於研究人員提出的攻擊情景聽起來並不是特別合理。

以Trustwave研究人員在D-Link和Comba路由器中發現的憑證洩漏漏洞為例。缺陷肯定存在，但它們需要網絡訪問或網絡配置，使您的路由器的基於Web的管理系統可以從任何地方訪問。即使滿足其中一個要求，自動化攻擊並立即擊中許多人也不容易，這意味著除非您是一個備受矚目的目標，否則很少有攻擊者會願意利用這些特定的安全漏洞。話雖如此，但無論如何難以利用，都不應忽視任何安全漏洞。應始終認真對待研究人員的報告，並且必須謹慎和透明地處理漏洞。不幸的是，在這種特殊情況下，供應商的反應確實讓安全專家感到有些失望。

您的無線調製解調器如何洩露您的密碼

這些漏洞都涉及無線路由器的基於Web的管理系統。在D-Link的DSL-2875AL的情況下，研究人員能夠下載存儲設備登錄憑證的配置文件。用戶名和密碼以純文本形式提供，文件可以下載而無需任何形式的身份驗證。

DSL-2875AL以及另一個D-Link型號DSL-2877AL帶來了另一個漏洞。用戶用於連接到其ISP的用戶名和密碼存儲在“index.asp”文檔的源代碼中，該文檔在路由器的IP輸入瀏覽器的地址欄時出現。攻擊者再一次不需要身份驗證來獲取敏感信息。他們只需要知道在哪裡看。

研究人員在Comba的路由器中發現的缺陷非常相似。 Trustwave意識到，對使用Comba AC2400 Wi-Fi訪問控制器設置的網絡上的特定URL的未經身份驗證的請求將允許他們訪問將用戶名和密碼存儲為MD5哈希值的配置文件。

在Comba的AP2600-I模型中，他們發現不是一種，而是兩種竊取登錄數據的方法。另一個未經身份驗證的請求將導致下載SQLite數據庫，該數據庫以純文本格式存儲用戶名和密碼。 MD5哈希表單中的相同登錄憑據也可以在登錄頁面的源代碼中找到。

供應商不會對漏洞做出反應

一旦Trustwave發現漏洞，他們就聯繫了D-Link和Comba。可以公平地說，供應商的反應並不完全堪稱典範。

Comba完全無視這些報導，並且沒有說明這個問題。他們的路由器仍然容易受到上述攻擊的攻擊，如果你使用它們，你需要牢記這一點. 要最大限度地降低威脅，請確保正確配置網絡，並且只運行所需的服務。

D-Link確實回應了Trustwave的報導，但不是一個快速有效的解決方案，整個事情都陷入了一場鬧劇。在公開披露漏洞之前，Trustwave最初為D-Link提供了90天的時間表。然而，有一次，路由器製造商告訴研究人員，研發部門無法在截止日期之前解決問題。 Trustwave表現出一些理解，並提供了“漫長的延伸”，但在此期間，D-Link只是停止與研究人員溝通。

然而，在Trustwave發布其調查結果的前幾天，D-Link寫道，用戶可以通過下載DSL-2875AL和DSL-2877AL固件的更新版本來修補漏洞。

在iTnews.com.au 撰寫有關漏洞的文章後，D-Link發言人表示，這些漏洞在2016年被修補，而且Trustwave的研究人員發現它們只是因為他們測試的設備是在舊固件上運行的。然後研究人員正確地問為什麼在披露他們的研究結果後他們沒有立即被告知這一切。

很高興聽到漏洞已被修補，使用D-Link路由器的人必須確保他們已將固件更新到最新版本。然而，公司對報告的回應方式仍遠未完美。至於Comba的反應（或缺乏反應），我們將讓您得出自己的結論。