KoolCenter Merlin Firmware

【20241227】关于偷订阅漏洞事件的一些说明

1. 原因已经在两周前找到，目前，目前漏洞还在修复中，等做好会推送软件中心版本。

2. 漏洞属于远程改写漏洞，可以被间接利用用于在路由器内执行代码

3. 漏洞不是来源于李鬼插件，也和防火墙开关与否无关，ssh开关与否无关

现在能告诉大家的就是：如果你有公网ip，且设置了【从互联网访问路由器】web后台，那就有被入侵风险。攻击者会通过对公网ip的常见端口扫描（比如8443），找到你的远程访问端口并进行入侵。

具体漏洞如何利用无法进行更加详细的描述，因为即使以后修复出来后，入侵者也能攻击未修复的存量用户。

所以在修复版本未出来前，建议开了公网访问的朋友：

1. 公网web访问不要使用诸如6666、8443、9999等常见端口

2. 在网络上跟网友交流时，不要以任何形式泄露自己的ddns域名

最后提醒下大家：

目前发现攻击者还在继续，并且其注入的文件（目前还是base.sh）代码已经更新，此次偷订阅更新后不会造成ssh断连和软件中心版本0.0.0故障了，所以可能你以为你是正常的，其实可能正处于中招状态（目前还是偷订阅）！

针对这个情况，我会在今明两天提前推出检测修复插件，插件能检测到你的软件中心重要文件是否被篡改，并且进行修复。

www.tgoop.com/ks_merlin/543

7.5K viewsedited  Dec 27 at 15:58

【20241227】关于偷订阅漏洞事件的一些说明

1. 原因已经在两周前找到，目前，目前漏洞还在修复中，等做好会推送软件中心版本。

2. 漏洞属于远程改写漏洞，可以被间接利用用于在路由器内执行代码

3. 漏洞不是来源于李鬼插件，也和防火墙开关与否无关，ssh开关与否无关

现在能告诉大家的就是：如果你有公网ip，且设置了【从互联网访问路由器】web后台，那就有被入侵风险。攻击者会通过对公网ip的常见端口扫描（比如8443），找到你的远程访问端口并进行入侵。

具体漏洞如何利用无法进行更加详细的描述，因为即使以后修复出来后，入侵者也能攻击未修复的存量用户。

所以在修复版本未出来前，建议开了公网访问的朋友：

1. 公网web访问不要使用诸如6666、8443、9999等常见端口

2. 在网络上跟网友交流时，不要以任何形式泄露自己的ddns域名

最后提醒下大家：

目前发现攻击者还在继续，并且其注入的文件（目前还是base.sh）代码已经更新，此次偷订阅更新后不会造成ssh断连和软件中心版本0.0.0故障了，所以可能你以为你是正常的，其实可能正处于中招状态（目前还是偷订阅）！

针对这个情况，我会在今明两天提前推出检测修复插件，插件能检测到你的软件中心重要文件是否被篡改，并且进行修复。

BY KoolCenter Merlin Firmware