预警！斐讯K1 PSG1208路由器原厂固件存在高危漏洞！[转贴]

3fl3oy · 发表于 2016-3-28 13:15:45

乌云漏洞平台已经公开两个关于斐讯K1 PSG1208的高危漏洞

一为涉嫌收集用户信息并可能泄露

二为存在路由可被内网任意下载路由配置文件无需管理密码、

报告链接：http://wooyun.org/bugs/wooyun-2015-0163398
http://wooyun.org/bugs/wooyun-2015-0163402

路由配置文件包含了路由所有的设置参数。包括路由管理密码，wifi密码。MAC白名单等等。
内网可被任意获取代表路由管理密码成为空设。只要连接wifi均可获取管理密码任意进入路由管理界面

至于收集用户信息，放乌云原帖截图你们感受一下：

这是上传信息的斐讯FTP站点

是的，你所有访问过的网站均有记录。

截止至北京时间2016年2月10日。斐讯官方目前并未修复上述两个漏洞

本人已验证过Pandavan ASUS固件不存在上述漏洞，Pandora Box未经测试（本人认为可以放心）
其他第三方也并未测试

在斐讯官方未作出修复回应及升级固件之前，
推荐将原厂固件刷为上述两个第三方固件以避免漏洞。

说下个人意见：单论路由而言，配置不错，性能满足普通家用。而且也保持了成功返现。

但是，斐讯是不可能空手而归的。只是这次被“捉奸在床”罢了。

天下没有免费午餐。大家在捡便宜的时候。谨记这一点。

本次事件，希望理性看待，认真对待，谨记教训。

拆机：http://bbs.mydigit.cn/read.php?tid=1525037

gx4mselh · 发表于 2016-3-28 13:15:45

我买的斐讯路由还行没明显的卡

dwcxmr · 发表于 2016-3-28 13:15:45

几个月前家里无线路由坏了，当时想买斐讯呢，后来在论坛里搜了下发现大家都推荐水星，所以买了水星的，看来是选对了

gpen1op · 发表于 2016-3-28 13:15:45

买这个没多少人会用原厂固件吧！虽说我到手一个月了一直没空折腾呢！

rfzu63rn · 发表于 2016-3-28 13:15:46

又是炒冷饭…已经有人发过了………

tn39w42 · 发表于 2016-3-28 13:15:46

本帖最近评分记录：共9条评分，M币+30
mirocusM币 +3謝謝分享02-29
rubygoM币 +3謝謝分享02-26
hgk117M币 +3謝謝分享02-25
小陈兔M币 +2謝謝分享02-25
dzbM币 +3謝謝分享02-24
hunhunM币 +3熱心助人02-16
佳维M币 +5謝謝分享02-13
任明碧M币 +3熱心會員02-11
200birdsM币 +5-02-10

关键词： PHICOMM斐讯漏洞
明艳不可方物！魅色手电精灵，最短小便携的不锈钢18650小直！（支持M币换购）回复举报

离线gz00

UID：1600296注册时间2014-01-09 最后登录2016-03-28 在线时间119小时发帖113 搜Ta的帖子精华0 M币-164专家0 访问TA的空间加好友用道具

数码5级

发帖113M币-164专家0粉丝5加关注发消息只看该作者 1楼发表于: 02-10

我买了，路由信号好差，我给扔一边了

j2512dsd · 发表于 2016-3-28 13:15:46

360有后门不用
，斐讯搜集个大数据访问网址也是后门，也是后门，醉了
，你认为你那点破事也谈得上叫秘密
？没准是那个程序员无聊想收集下你们收藏的小电影网址呢

hxgjl8 · 发表于 2016-3-28 13:15:46

感觉这免费午餐不好吃，没撸！

7k1cwn8 · 发表于 2016-3-28 13:15:47

像这种官方原厂固件有漏洞的是不是刷了第三方固件例如openwrt（先假设第三方固件安全）是不是就没问题了？还是刷了也没用，漏洞依旧存在？

m9kdc01p · 发表于 2016-3-28 13:15:47

这年头什么阿猫阿狗都来做路由器
不如买水星1200R了，反正都是假千兆，还是老牌子靠谱点

		自动登录	找回密码
密码			立即注册