独立安全评估员(ISE) 在其最新的题为“ SOHOpelessly Broken 2.0 ”的研究中发现,13个小型办公室/家庭办公室(SOHO)路由器和网络附加存储(NAS)设备共有125个不同的安全漏洞,可能影响数百万用户。
研究指出,设备制造商实施的安全控制措施不足以抵御远程攻击者开展的攻击。该研究项目旨在揭示和利用新技术来规避嵌入式设备中的安全漏洞。
受影响的路由器供应商列表
-
水牛
-
群晖
-
铁威马
-
合勤
-
Drobo产品
-
华硕及其子公司Asustor
-
希捷
-
QNAP
-
联想
-
美国网件
-
小蜜
-
Zioncom(TOTOLINK)
根据安全研究人员的说法,他们测试的这13个设备中,每个设备存在至少一个Web应用程序漏洞,漏洞允许远程攻击者获得远程shell访问权限或设备的管理面板。
这些漏洞包括跨站点脚本(XSS),跨站点请求伪造(CSRF),缓冲区溢出,操作系统命令注入(OS CMDi),身份验证绕过,SQL注入(SQLi)和文件上载路径遍历漏洞。
在13台设备中,6个包含的漏洞可以让攻击者远程获得对设备的完全控制,无需验证。
这些受影响的商用和家用路由器是Asustor AS-602T,Buffalo TeraStation TS5600D1206,TerraMaster F2-420,Drobo 5N2,Netgear Nighthawk R9000和TOTOLINK A3002RU。
这份新报告SOHOpelessly Broken 2.0是一份后续研究,SOHOpelessly Broken 1.0,由ISE安全公司于2013年发布,当时他们披露了包括TP-Link在内的13家SOHO路由器和NAS设备共52个漏洞,华硕和Linksys。
ISE研究人员向受影响的设备制造商报告了他们发现的所有漏洞,其中大多数漏洞迅速做出响应并已采取安全措施来缓解已经收到CVE ID的这些漏洞。
然而,包括Drobo,Buffalo Americas和Zioncom Holdings在内的一些设备制造商没有回应研究人员的调查结果。
目前,国内受影响的路由器品牌包括联想、华硕、TPLink。
文章翻译整合自:the Hacker News
,
