Исследователи безопасности обнаружили в общей сложности 125 различных уязвимостей в 13 роутерах малого и домашнего офиса (SOHO) и устройствах NAS, которые могут затронуть миллионы пользователей.
Чтобы составить последнее исследование SOHOpelessly Broken 2.0, Independent Security Evaluators (ISE) протестировали SOHO-маршрутизаторы и устройства NAS от Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS и ее дочерних компаний Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi и Сионком (ТОТОЛИНК).
Исследователи обнаружили, что все 13 широко используемых устройств, которые они тестировали, содержали как минимум одну уязвимость веб-приложения, которая могла позволить злоумышленнику получить удаленный доступ к оболочке или доступ к административной панели уязвимого устройства.
Обнаруженные уязвимости ISE варьировались от межсайтовых сценариев (XSS), межсайтовых запросов (CSRF), переполнения буфера, внедрения команд операционной системы (OS CMDi), обхода аутентификации, внедрения SQL и путей загрузки из файлы.
ПОЛНОСТЬЮ УЩЕРБ 2.0
По словам исследователей, им удалось поставить корневую оболочку 12 устройства, что позволит им иметь полный контроль над уязвимым устройством. Кроме того, шесть протестированных ими устройств содержали слабые стороны, которые позволяли злоумышленнику получить удаленный контроль над устройством без проверки подлинности.
Коммерческими и внутренними маршрутизаторами, которые содержат уязвимости ISE, являются Ausustor AS-602T, Bufallo TeraStation TS5600D1206, TerraMaster f2-420, Drobo 5N2, Netgear Nighthawk R9000 и TOTOLINK A3002RU.
Новый отчет компании является продолжением исследования SOHOpelessly Broken 1.0, выпущенного ISE в 2013 году. В то время компания обнаружила 52 уязвимости в 13 маршрутизаторах SOHO и устройствах NAS от TP-Link, ASUS, Linksys и других. , Продавец
Со времени публикации своего последнего исследования ISE отмечает, что в некоторых более новых устройствах IoT реализованы полезные механизмы безопасности, включая пространственную рандомизацию (ASLR), функции, предназначенные для остановки обратного инжиниринга, и механизмы проверки целостности для приложений HTPP. ,
Компания сообщает обо всех уязвимостях, обнаруженных в SOHOpently Broken 2.0, производителям уязвимых устройств, и большинство из них ответили компании и начали принимать меры безопасности для уменьшения этой уязвимости. Однако Drobo, Buffalo Americas и Zioncom Holdings не ответили, когда были представлены результаты ISE.
Виа Хакер Новости
Add comment