Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Eksperti atklāj 125 jaunas ievainojamības dažādu ražotāju SOHO maršrutētājos un NAS ierīcēs

Eksperti atklāj 125 jaunas ievainojamības dažādu ražotāju SOHO maršrutētājos un NAS ierīcēs

Drošības eksperti atklājuši daudzas ievainojamības trīspadsmit dažādos mazo biroju/mājas biroju (small office/home office jeb SOHO) maršrutētājos un tīklam pievienotās datu uzglabāšanas (network-attached storage jeb NAS) iekārtās. Pētījums ir daļa no projekta ar nosaukumu SOHOpelessly Broken 2.0, ko īsteno amerikāņu drošības konsultāciju uzņēmums Independent Security Evaluators.

 

 

Šajā 2013. gadā uzsāktā projekta (SOHOpelessly Broken 1.0) fāzē pētnieki testēja 13 SOHO maršrutētājus un NAS ierīces, kopumā identificējot 125 ievainojamības. “Ar šo mēs parādām, ka ierīču ražotāju ieviestās drošības kontroles nav pietiekamas, lai pretotos attālinātiem uzbrukumiem. Šī pētniecības projekta mērķis bija atklāt un izmantot jaunas metodes, ar kurām apiet šīs ierīcēs iegultās drošības kontroles,” kā lasāms ekspertu publicētajā ziņojumā.

Eksperti testēja šo ražotāju SOHO maršrutētājus un NAS ierīces:

  • Buffalo
  • Synology
  • TerraMaster
  • Zyxel
  • Drobo
  • ASUS un tā meitas uzņēmuma Asustor
  • Seagate
  • QNAP
  • Lenovo
  • Netgear
  • Xiaomi
  • Zioncom (TOTOLINK)

Eksperti atklāja vismaz vienu tīmekļa lietotnes kļūdu katrā pārbaudītajā ierīcē. Šo ievainojamību uzbrucējs var attālināti izmantot, lai iegūtu attālo piekļuvi ierīcei vai piekļūtu ierīces vadības panelim.

 

 

Eksperti 12 ierīcēm ieguva administratora piekļuves tiesības, kas ļāva tiem pārņemt ievainojamās sistēmas, bet 6 nepilnības ļāva ierīces izmantot attālināti bez autentifikācijas (Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000, un TOTOLINK A3002RU).

Starp pētnieku atklātajām ievainojamībām ir autorizācijas apiešana, autentifikācijas apiešana, bufera pārpilde, komandu injekcija, SQL injekcija (SQLi), starpvietņu skriptošana (XSS), starpvietņu pieprasījumu viltošana (CSRF) un failu augšupielādes ceļa apiešana.

Eksperti uzskata, ka lietu interneta (IoT) ierīču drošības līmenis kopš SOHOpelessly Broken 1.0 ir uzlabojies tikai nedaudz – ierobežots skaits pārbaudīto ierīču īstenoja padziļinātas aizsardzības mehānismus, piemēram, datu atrašanās vietas maiņu pēc nejaušības principa (ASLR), funkcijas, kas kavē reverso inženieriju, un integritātes pārbaudes mehānismus HTTP pieprasījumiem.

Pētnieki visu informāciju par ievainojamībām nodeva attiecīgajiem ražotājiem un lielākā daļa no tiem uzreiz ķērās pie problēmu risināšanas. Diemžēl daži ražotāji, tostarp Drobo, Buffalo Americas, un Zioncom Holdings, atbildes neesot snieguši.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

7 + 1 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu