Аналитики Independent Security Evaluators (ISE) вновь провели анализ SOHO-роутеров и устройств NAS в рамках второй части проекта SOHOpelessly Broken 2.0. Первый проект SOHOpelessly Broken был начат еще в 2013 году, и тогда специалисты обнаружили множество новых уязвимостей, которым были присвоены 52 идентификатора CVE.
В прошлом году в ISE решил провести еще одну аналогичную оценку, чтобы увидеть, насколько изменилась и развилась безопасность IoT за прошедшее время. В рамках проекта SOHOpelessly Broken 2.0 было проанализировано в общей сложности 13 SOHO-маршрутизаторов и устройств NAS, и сделанные экспертами выводы, увы, получились весьма грустными.
Исследователи изучили популярные устройства производства Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS и ее дочерней компании Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi и Zioncom (TOTOLINK).
Как видно в таблице ниже, каждое изученное устройство было уязвимо хотя бы перед одним типом атак, включая XSS, переполнение буфера, обход аутентификации, SQL-инъекции и так далее. Эти баги могли позволить удаленному злоумышленнику получить доступ к уязвимому гаджету и скомпрометировать его. Хуже того, на многих устройствах по-прежнему отсутствуют даже базовые защитные механизмы, такие как токены CSRF и механизмы защиты веб-приложений.
В итоге, используя обнаруженные уязвимости, исследователи успешно перехватили управление над Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000 и TOTOLINK A3002RU, так как к ним можно было получить удаленный доступ без аутентификации. И на 12 из 13 изученных устройств специалистам удалось получить root-доступ.
Информация о найденных проблемах уже была доведена до сведения производителей, и большинство из них оперативно отреагировали на сообщения экспертов ISE. Исследователи отмечают, что определенные проблемы в общении возникли с представителями Netgear, а компании Drobo, Buffalo и Zioncom не ответили вовсе. Также специалисты отмечают, что у Buffalo, TerraMaster, Drobo, Zyxel, TOTOLINK и Asustor нет программ обнаружения уязвимостей, что тоже существенно осложняет дело.