獨立安全評估員(ISE) 在其最新的題為“ SOHOpelessly Broken 2.0 ”的研究中發現,13個小型辦公室/家庭辦公室(SOHO)路由器和網絡附加存儲(NAS)設備共有125個不同的安全漏洞,可能影響數百萬用戶。
研究指出,設備制造商實施的安全控制措施不足以抵禦遠程攻擊者開展的攻擊。該研究項目旨在揭示和利用新技術來規避嵌入式設備中的安全漏洞。
受影響的路由器供應商列表
水牛
群晖
鐵威馬
合勤
Drobo産品
華碩及其子公司Asustor
希捷
QNAP
聯想
美國網件
小蜜
Zioncom(TOTOLINK)
根據安全研究人員的說法,他們測試的這13個設備中,每個設備存在至少一個Web應用程序漏洞,漏洞允許遠程攻擊者獲得遠程shell訪問權限或設備的管理面闆。
這些漏洞包括跨站點腳本(XSS),跨站點請求僞造(CSRF),緩沖區溢出,操作系統命令注入(OS CMDi),身份驗證繞過,SQL注入(SQLi)和文件上載路徑遍曆漏洞。
在13台設備中,6個包含的漏洞可以讓攻擊者遠程獲得對設備的完全控制,無需驗證。
這些受影響的商用和家用路由器是Asustor AS-602T,Buffalo TeraStation TS5600D1206,TerraMaster F2-420,Drobo 5N2,Netgear Nighthawk R9000和TOTOLINK A3002RU。
這份新報告SOHOpelessly Broken 2.0是一份後續研究,SOHOpelessly Broken 1.0,由ISE安全公司于2013年發布,當時他們披露了包括TP-Link在内的13家SOHO路由器和NAS設備共52個漏洞,華碩和Linksys。
ISE研究人員向受影響的設備制造商報告了他們發現的所有漏洞,其中大多數漏洞迅速做出響應并已采取安全措施來緩解已經收到CVE ID的這些漏洞。
然而,包括Drobo,Buffalo Americas和Zioncom Holdings在内的一些設備制造商沒有回應研究人員的調查結果。
目前,國内受影響的路由器品牌包括聯想、華碩、TPLink。
文章翻譯整合自:the Hacker News
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
