الضعف في أجهزة التوجيه وأجهزة التخزين تساعد في هجمات الكمبيوتر

تقوم ESET بتحليل حالة الأجهزة التي تم الحصول على الوصول إليها عن بُعد وفي بعض الطرز حتى دون الحاجة إلى المصادقة.

تقوم ESET ، وهي شركة رائدة في مجال الكشف عن التهديدات الاستباقية ، بتحليل اكتشاف 125 عيبًا أمنيًا من خلال التحقيق في ما مجموعه 13 جهاز توجيه وأجهزة تخزين شبكية ، والمعروفة أيضًا باسم أجهزة NAS.

«يوضح اكتشاف هذه الثغرات الأمنية أن الضوابط الأمنية التي وضعتها الشركات المصنعة لأجهزة إنترنت الأشياء ليست كافية في مواجهة الهجمات عن بعد التي يقوم بها مجرمو الإنترنت. هذا النوع من البيانات يذكرنا بأهمية التفكير في الأمن من بداية أي مشروع »، comments Camilo Gutiérrez ، رئيس مختبر الأبحاث في ESET أمريكا اللاتينية.

قام المتخصصون بتحليل الأجهزة من مجموعة واسعة من النماذج من مختلف الشركات المصنعة ، سواء المصممة للاستخدام المنزلي أو التجاري ، في معظم الحالات من الشركات ذات السمعة الطيبة والمعترف بها في هذه الصناعة ، مثل: Xiaomi و Lenovo و Netgear و Buffalo ، Synology ، ZYXEL ، Drobo ، ASUS ، من بين أمور أخرى. في الرابط التالي ، توجد قائمة كاملة بنماذج أجهزة التوجيه وأجهزة NAS التي تم تقييمها.

يقدم كل جهاز من الأجهزة الثلاثة عشر التي تم تحليلها ثغرة أمنية واحدة على الأقل في تطبيق الويب أو حقن الأوامر في نظام التشغيل أو حقن SQL ، والتي يمكن استغلالها بواسطة مهاجم للحصول على وصول عن بعد إلى الجهاز أو لوحة الإدارة. وبالمثل ، هناك خطأ شائع آخر موجود في العديد من الأجهزة التي تم تحليلها والتي سمحت لها بالتهرب من مرحلة المصادقة والترخيص.

في 12 من الأجهزة التي تم تحليلها ، تمكن باحثو مقيمو الأمن المستقلون (ISE) من الحصول على وصول إلى الجذر عن بعد ، مما سمح لهم بالتحكم الكامل في الجهاز. تم الإبلاغ عن كل من حالات الفشل التي تم تحديدها للمصنعين ، الذين ، في معظم الحالات ، استجابوا بسرعة واتخذوا التدابير المناسبة لإصلاح هذه الإخفاقات.

«يبحث المهاجمون باستمرار عن طرق جديدة لنشر البرامج الضارة الخاصة بهم بطريقة صامتة. لقد لاحظنا أن سلسلة التوريد والهجمات في لعبة Man in the Middle يتم استخدامها بشكل متكرر أكثر من قِبل العديد من المهاجمين في أنحاء مختلفة من العالم. هذا هو السبب في أنه من الأهمية بمكان أن مطوري البرامج لا يراقبون بيئاتهم الخاصة بدقة بحثًا عن عمليات اقتحام محتملة فحسب ، بل يطبقون أيضًا آليات التحديث المناسبة في منتجاتهم المقاومة للهجمات والمستخدمين الذين وخلص غوتيريز إلى الحفاظ على حماية جهازك ، وتحديث أنظمة التشغيل الخاصة بك ، وتغيير كلمات المرور الخاصة بك بشكل دوري.