tp路由器一阵阵断网(TPLink联想华硕路由器曝安全漏洞)

tp路由器一阵阵断网(TPLink联想华硕路由器曝安全漏洞)(1)

独立安全评估员(ISE) 在其最新的题为“ SOHOpelessly Broken 2.0 ”的研究中发现,13个小型办公室/家庭办公室(SOHO)路由器和网络附加存储(NAS)设备共有125个不同的安全漏洞,可能影响数百万用户。

研究指出,设备制造商实施的安全控制措施不足以抵御远程攻击者开展的攻击。该研究项目旨在揭示和利用新技术来规避嵌入式设备中的安全漏洞。

受影响的路由器供应商列表

  • 水牛

  • 群晖

  • 铁威马

  • 合勤

  • Drobo产品

  • 华硕及其子公司Asustor

  • 希捷

  • QNAP

  • 联想

  • 美国网件

  • 小蜜

  • Zioncom(TOTOLINK)

根据安全研究人员的说法,他们测试的这13个设备中,每个设备存在至少一个Web应用程序漏洞,漏洞允许远程攻击者获得远程shell访问权限或设备的管理面板。

这些漏洞包括跨站点脚本(XSS),跨站点请求伪造(CSRF),缓冲区溢出,操作系统命令注入(OS CMDi),身份验证绕过,SQL注入(SQLi)和文件上载路径遍历漏洞。

在13台设备中,6个包含的漏洞可以让攻击者远程获得对设备的完全控制,无需验证。

这些受影响的商用和家用路由器是Asustor AS-602T,Buffalo TeraStation TS5600D1206,TerraMaster F2-420,Drobo 5N2,Netgear Nighthawk R9000和TOTOLINK A3002RU。

这份新报告SOHOpelessly Broken 2.0是一份后续研究,SOHOpelessly Broken 1.0,由ISE安全公司于2013年发布,当时他们披露了包括TP-Link在内的13家SOHO路由器和NAS设备共52个漏洞,华硕和Linksys。

ISE研究人员向受影响的设备制造商报告了他们发现的所有漏洞,其中大多数漏洞迅速做出响应并已采取安全措施来缓解已经收到CVE ID的这些漏洞。

然而,包括Drobo,Buffalo Americas和Zioncom Holdings在内的一些设备制造商没有回应研究人员的调查结果。

目前,国内受影响的路由器品牌包括联想、华硕、TPLink。

文章翻译整合自:the Hacker News

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页