Các nhà nghiên cứu bảo mật đã tìm thấy tổng cộng 125 lỗ hổng bảo mật khác nhau trong 13 bộ định tuyến văn phòng / nhà nhỏ (SOHO) và thiết bị NAS có thể ảnh hưởng đến hàng triệu người dùng.
Để biên dịch phòng thu SOHOplessly Broken mới nhất 2.0, Các nhà đánh giá bảo mật độc lập (ISE) đã thử nghiệm các bộ định tuyến SOHO và thiết bị NAS từ Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS và các công ty con Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi và Zioncom (TOTOLINK).
Các nhà nghiên cứu phát hiện ra rằng tất cả 13 thiết bị được sử dụng rộng rãi mà họ đã thử nghiệm đều chứa ít nhất một lỗ hổng ứng dụng web có thể cho phép kẻ tấn công có được quyền truy cập vỏ từ xa hoặc truy cập vào bảng điều khiển của thiết bị bị ảnh hưởng.
Các lỗ hổng ISE được tìm thấy nằm trong phạm vi kịch bản chéo trang (XSS), giả mạo yêu cầu chéo trang (CSRF), tràn bộ đệm, tiêm lệnh sistema operativo (OS CMDi), bỏ qua xác thực, SQL SQL và đường dẫn tải lên tệp.
HOÀN TOÀN 2.0
Theo các nhà nghiên cứu, họ đã quản lý để đặt thiết bị root shell 12 cho phép họ có toàn quyền kiểm soát thiết bị bị ảnh hưởng. Ngoài ra, sáu thiết bị mà họ đã thử nghiệm chứa những điểm yếu cho phép kẻ tấn công giành quyền kiểm soát thiết bị từ xa mà không cần phải xác thực.
Các bộ định tuyến thương mại và nội địa mà ISE chứa các lỗ hổng là Ausustor AS-602T, Bufallo TeraStation TS5600D1206, TerraMaster f2-420, Drobo 5N2, Netgear Nighthawk R9000 và TOTOLINK A3002RU.
Báo cáo mới của công ty là một nghiên cứu tiếp theo cho SOHOplessly Broken 1.0 được phát hành bởi ISE vào năm 2013. Vào thời điểm đó, công ty đã tiết lộ tổng cộng 52 lỗ hổng trên 13 thiết bị định tuyến SOHO và thiết bị NAS từ TP-Link, ASUS, Linksys và các thiết bị khác. Người bán
Kể từ khi nghiên cứu mới nhất được công bố, ISE đã lưu ý rằng một số thiết bị IoT mới hơn đã triển khai các cơ chế bảo mật hữu ích, bao gồm ngẫu nhiên không gian (ASLR), các chức năng nhằm ngăn chặn kỹ thuật đảo ngược và cơ chế xác minh tính toàn vẹn cho các ứng dụng HTPP. .
Công ty báo cáo tất cả các lỗ hổng được tìm thấy trong SOHOpently Broken 2.0 cho các nhà sản xuất các thiết bị bị ảnh hưởng và hầu hết phản hồi cho công ty và bắt đầu thực hiện các biện pháp bảo mật để giảm lỗ hổng này. Tuy nhiên, Drobo, Buffalo Americas và Zioncom Holdings đã không trả lời khi phát hiện ISE được trình bày.
Thông qua tin tặc
