顽疾：86％路由器的默认密码从未更改过，弱口令是国际难题

当我们探讨“两高一弱”时，其实国际上有关弱口令、默认口令问题一直争论不断。随着身份认证技术的不断完善，以及双因素的要求的强制性，弱口令、默认口令较前几年其实已经有了大的改观，但是依然是一个大难题。这和人人都具备偷懒的习惯，具备惰性有关。但是，安全就是一个不断克服不良习惯、克服惰性的过程。

错误配置仍然是一个常见的危害点——而路由器是其中的佼佼者。

根据最近的调查数据，86% 的受访者从未更改过路由器管理员密码，52% 的受访者从未调整过任何出厂设置。这为攻击者提供了入侵企业网络的绝佳机会。既然可以使用“管理员”和“密码”作为凭据访问所谓的安全设备，为什么还要花时间和精力创建钓鱼电子邮件并窃取员工数据呢？

现在是时候对路由器进行现实检验了。

路由器风险不断上升

路由器允许多台设备使用同一个互联网连接。它们通过引导流量来实现这一目标——内部设备沿着最有效的路径路由到面向外部的服务，传入数据被发送到适当的端点。

如果攻击者成功攻陷路由器，他们就能控制出入网络的信息。这会带来以下风险：

将用户重定向至恶意网页
进行中间人 (MiTM) 攻击以窃取数据
作为大型僵尸网络的一部分发起DDoS 攻击
使用物联网设备监控用户行为

路由器攻击的性质也使其难以被发现。这是因为网络犯罪分子不会强行进入路由器或绕道逃避安全防御。相反，他们利用被忽视的弱点直接访问路由器，这意味着他们不会发出警告。

假设路由器的登录名为“admin”，没有密码。只需简单猜测几下，攻击者便可进入路由器设置，而不会触发安全响应，因为他们并未破坏网络服务或破坏应用程序。相反，他们以与员工和 IT 团队相同的方式访问路由器。

探索防守脱节

企业认识到了强大的网络安全的必要性。根据Gartner 的数据，到 2025 年，信息安全支出将增长 15%，达到 2120 亿美元。常见的投资领域包括端点保护平台 (EPP)、端点检测和响应 (EDR)以及生成式人工智能 (gen AI)的集成。然而，路由器经常被忽视。

例如，89% 的受访者从未更新过路由器固件。同样比例的受访者从未更改过默认网络名称，72% 的受访者从未更改过 Wi-Fi 密码。

这是有问题的。最近的一份报告发现，流行的 OT/IoT 路由器固件映像已经过时，并且包含可利用的 N-day 漏洞。该报告发现，开源组件平均已有五年以上的历史，并且比最新版本晚了四年。

与此同时，据GovTech指出，对匹兹堡地区水务局的攻击之所以成功，部分原因是其网络的默认密码是“1111”。其他常见密码包括“password”和“123456”；在某些情况下，路由器没有密码。攻击者只需要登录凭证（通常是“admin”），就可以完全访问路由器功能。

更能说明问题的是，路由器的安全性越来越差，而不是越来越好。想想看，在 2022 年，48% 的受访者表示他们没有调整路由器设置，16% 的受访者从未更改过管理员密码。在 2024 年，超过 50% 的路由器仍在出厂设置下运行，只有 14% 的路由器更改了密码。

通过在安全工具上投入更多资金但不改变默认配置或更新路由器固件，企业正在关上大门却敞开着窗户。

尽量减少配置错误

那么，公司如何最大限度地降低配置错误的风险呢？

首先从最基础的做起：定期更改密码、更新固件并确保路由器未保留出厂设置。简单吗？当然。常见吗？调查数据显示，情况并非如此。

在某种程度上，路由器风险与安全现实之间的脱节源于网络攻击的庞大数量。例如，2023 年有94% 的公司遭受了网络钓鱼攻击，而根据IBM 2024 年数据泄露成本报告，数据泄露的平均成本现在为 488 万美元，比 2023 年增长 10%，是有史以来最高的。这让网络安全团队处于防御状态，并对常见的攻击媒介保持高度警惕，例如网络钓鱼、短信钓鱼和未经审查或批准的“影子 IT ”应用程序的使用。

因此，路由器可能会漏网。解决此问题的第一步是制定定期更新计划。每四到六个月安排一次路由器检查 — 将其放在共享日历中，并确保所有安全人员都知道这将会发生。当指定日期到来时，尽可能更新固件并更改登录名和密码详细信息。还值得制定每周计划来检查路由器流量，以查找任何异常行为或意外登录请求。