Аналитики Independent Security Evaluators (ISE) вновь провели анализ SOHO-роутеров и устройств NAS в рамках второй части проекта SOHOpelessly Broken 2.0. Первый проект SOHOpelessly Broken был начат еще в 2013 году, и тогда специалисты обнаружили множество новых уязвимостей, которым были присвоены 52 идентификатора CVE.

В прошлом году в ISE решил провести еще одну аналогичную оценку, чтобы увидеть, насколько изменилась и развилась безопасность IoT за прошедшее время. В рамках проекта SOHOpelessly Broken 2.0 было проанализировано в общей сложности 13 SOHO-маршрутизаторов и устройств NAS, и сделанные экспертами выводы, увы, получились весьма грустными.

Исследователи изучили популярные устройства производства Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS и ее дочерней компании Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi и Zioncom (TOTOLINK).

Как видно в таблице ниже, каждое изученное устройство было уязвимо хотя бы перед одним типом атак, включая XSS, переполнение буфера, обход аутентификации, SQL-инъекции и так далее.  Эти баги могли позволить удаленному злоумышленнику получить доступ к уязвимому гаджету и скомпрометировать его. Хуже того, на многих устройствах по-прежнему отсутствуют даже базовые защитные механизмы, такие как токены CSRF и механизмы защиты веб-приложений.

В итоге, используя обнаруженные уязвимости, исследователи успешно перехватили управление над Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000 и TOTOLINK A3002RU, так как к ним можно было получить удаленный доступ без аутентификации. И на 12 из 13 изученных устройств специалистам удалось получить root-доступ.

Информация о найденных проблемах уже была доведена до сведения производителей, и большинство из них оперативно отреагировали на сообщения экспертов ISE. Исследователи отмечают, что определенные проблемы в общении возникли с представителями Netgear, а компании Drobo, Buffalo и Zioncom не ответили вовсе. Также специалисты отмечают, что у Buffalo, TerraMaster, Drobo, Zyxel, TOTOLINK и Asustor нет программ обнаружения уязвимостей, что тоже существенно осложняет дело.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии