Fouten ontdekt in de populaire router en NAS merken

Beveiligingsonderzoekers hebben ontdekt een totaal van 125 verschillende beveiligingsproblemen in 13 small office/home office (SOHO) routers en NAS – apparaten die de potentie hebben om invloed op miljoenen gebruikers.

Voor het compileren van de laatste SOHOpelessly Gebroken 2.0 studie, Onafhankelijke Security Beoordelaars (ISE) getest SOHO routers en NAS-apparaten van Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS en haar dochteronderneming Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi en Zioncom (TOTOLINK).

De onderzoeker ontdekte dat alle 13 van de gebruikte apparaten testten zij bevatten minstens één webtoepassing kwetsbaarheid die een aanvaller te krijgen remote shell toegang of toegang tot de administratieve commissie van de betreffende apparaten.

De kwetsbaarheden ISE ontdekt assortiment van cross-site scripting (XSS), cross-site request forgery (CSRF), buffer overflow, het besturingssysteem opdracht injectie (OS CMDi), authentication bypass, een SQL-injectie en bestand upload path traversal.

SOHOpelessly Gebroken 2.0

Volgens de onderzoekers waren in staat om met succes het verkrijgen van root schelpen op 12 van de apparaten die hen in staat zou stellen om de volledige controle hebben over de betreffende apparaten. Bovendien zijn zes van de apparaten die ze getest bevatte fouten waardoor de aanvallers om controle te krijgen over een apparaat op afstand zonder te verifiëren.

De zakelijke en thuis routers ISE bevatten kwetsbaarheden zijn de Ausustor AS-602T, de Bufallo TeraStation TS5600D1206, de TerraMaster f2-420, de Drobo 5N2, de Netgear Nighthawk R9000 en de TOTOLINK A3002RU.

De firma ‘ s nieuwe rapport is een follow-up studie naar SOHOpelessly Gebroken 1.0 die ISE gepubliceerd terug in 2013. In die tijd is het bedrijf bekendgemaakt op een totaal van 52 kwetsbaarheden in 13 SOHO routers en NAS-apparaten van TP-Link, ASUS, Linksys en andere leveranciers.

Sinds de laatste studie werd gepubliceerd, ISE heeft gemerkt dat een aantal nieuwere IoT apparaten hebben geïmplementeerd nuttig security-mechanismen, waaronder adres-space layout randomization (ASLR), de functies die gericht zijn op het stoppen van reverse engineering en verificatie van de integriteit van mechanismen voor HTPP aanvragen.

Het bedrijf rapporteerde al van de kwetsbaarheden ontdekt in SOHOpelessly Gebroken 2.0 naar de betreffende fabrikanten en de meerderheid van die gehoor gaven aan de onderneming en zijn begonnen met het nemen van veiligheidsmaatregelen voor het opvangen van deze kwetsbaarheden. Echter, Drobo, Buffalo Amerika en Zioncom Holdings niet te reageren als ze worden gepresenteerd met een ISE van de bevindingen.

Via De Hacker News