发布日期：2003-10-20
更新日期：2003-10-24

受影响系统：

Origo ASR-8100 ADSL Router 3.21
Origo ASR-8400 ADSL Router

描述：

---

BUGTRAQ  ID: 8855

Origo ADSL是一款宽带路由器。

Origo ADSL由于缺少充分的访问控制，远程攻击者可以未授权访问路由器，会导致拒绝服务。

Origo ADSL包含基于telnet的配置接口在WAN接口，监听254端口，并且没有设置任何密码验证，任意攻击者可以连接这个端口重设设备配置，可产生拒绝服务。

<*来源：Theo Markettos （theo@markettos.org.uk）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106667061217091&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Theo Markettos （theo@markettos.org.uk）提供了如下测试方法：

telnet <router global IP address> 254

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 转发外部254端口到一个内部未使用端口：

访问WEB管理接口http://router-ip/doc/advance.htm：

点击配置：Virtual server

输入如下条目：

Public port: 254
Private port: 9876
TCP
Host IP address: 127.0.0.1

点击'Add this setting'，然后保存设置/重新启动。

厂商补丁：

Origo
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.origo2000.com/

浏览次数：3095
严重程度：0（网友投票）