Tehnografi.com - Технологические новости, обзоры и советы

Обнаружены недостатки в популярных маршрутизаторах и марках NAS

Исследователи в области безопасности обнаружили в общей сложности 125 различных уязвимостей в 13 маршрутизаторах малого / домашнего офиса (SOHO) и устройствах NAS, которые потенциально могут повлиять на миллионы пользователей.

Чтобы составить свое последнее исследование SOHOpelessly Broken 2.0, Independent Security Evaluators (ISE) протестировали SOHO-маршрутизаторы и устройства NAS от Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS и ее дочерних компаний Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi и Zioncom ( TOTOLINK).

Исследователь обнаружил, что все 13 широко используемых устройств, которые они тестировали, содержали как минимум одну уязвимость веб-приложения, которая могла позволить злоумышленнику получить удаленный доступ к оболочке или доступ к административной панели уязвимых устройств.

Уязвимости, обнаруженные ISE, варьируются от межсайтовых сценариев (XSS), межсайтовых запросов (CSRF), переполнения буфера, внедрения команд операционной системы (OS CMDi), обхода аутентификации, внедрения SQL и обхода пути загрузки файлов.

SOHOpelessly Broken 2.0

По словам исследователей, им удалось успешно получить корневые оболочки на 12 устройствах, что позволило бы им полностью контролировать затронутые устройства. Кроме того, шесть из протестированных ими устройств содержали недостатки, которые позволили бы злоумышленникам получить контроль над устройством удаленно без необходимости аутентификации.

В служебных и домашних маршрутизаторах ISE, в которых обнаружены уязвимости, находятся Ausustor AS-602T, Bufallo TeraStation TS5600D1206, TerraMaster f2-420, Drobo 5N2, Netgear Nighthawk R9000 и TOTOLINK A3002RU.

Новый отчет фирмы является продолжением исследования SOHOpelessly Broken 1.0, которое ISE опубликовало еще в 2013 году. В то время фирма раскрыла в общей сложности 52 уязвимости в 13 маршрутизаторах SOHO и устройствах NAS от TP-Link, ASUS, Linksys и других. поставщики.

Со времени публикации последнего исследования ISE заметила, что в нескольких новых устройствах IoT реализованы полезные механизмы безопасности, включая рандомизацию размещения адресного пространства (ASLR), функциональные возможности, направленные на остановку обратного инжиниринга и механизмов проверки целостности для запросов HTPP.

Фирма сообщила обо всех обнаруженных ею уязвимостях в SOHOpelessly Broken 2.0 затронутым производителям устройств, большинство из которых отреагировали на это и начали принимать меры безопасности для смягчения этих уязвимостей. Однако Drobo, Buffalo Americas и Zioncom Holdings не ответили, когда были представлены выводы ISE.

Через Новости Хакера