اكتشف باحثو الأمن ما مجموعه 125 نقطة ضعف أمنية مختلفة عبر 13 جهاز توجيه مكتب صغير / مكتب منزلي (SOHO) وأجهزة NAS التي لديها القدرة على التأثير على ملايين المستخدمين.
لتجميع أحدث دراسة لها من SOHOpelessly Broken 2.0 ، قام مقيمون مستقلون للأمن (ISE) باختبار أجهزة توجيه SOHO وأجهزة NAS من Buffalo و Synology و TerraMaster و Zyxel و Drobo و ASUS وفرعها Asustor و Seagate و QNAP و Lenovo و Netgear و Xiaomi و Zioncom ( TOTOLINK).
وجد الباحث أن جميع الأجهزة الثلاثة عشر المستخدمة على نطاق واسع والتي اختبرتها تحتوي على ثغرة أمنية واحدة على الأقل في تطبيق الويب والتي قد تسمح للمهاجمين بالوصول إلى shell عن بعد أو الوصول إلى اللوحة الإدارية للأجهزة المتأثرة.
تتراوح نقاط الضعف التي اكتشفتها ISE من البرامج النصية عبر المواقع (XSS) ، وتزوير الطلبات عبر المواقع (CSRF) ، وتجاوز سعة المخزن المؤقت ، وحقن أمر نظام التشغيل (OS CMDi) ، وتجاوز المصادقة ، وحقن SQL ومسار مسار تحميل الملفات.
المكسور 2.0 بلا هوادة
وفقًا للباحثين ، تمكنوا من الحصول على قذائف الجذر بنجاح على 12 من الأجهزة التي من شأنها أن تسمح لهم بالسيطرة الكاملة على الأجهزة المتأثرة. بالإضافة إلى ستة من الأجهزة التي اختبروها تحتوي على عيوب من شأنها أن تمكن المهاجمين من السيطرة على جهاز عن بعد دون الحاجة إلى المصادقة.
أجهزة توجيه الأعمال والمنزل ISE التي تحتوي على نقاط ضعف هي Ausustor AS-602T و Bufallo TeraStation TS5600D1206 و TerraMaster f2-420 و Drobo 5N2 و Netgear Nighthawk R9000 و TOTOLINK A3002RU.
إن تقرير الشركة الجديد عبارة عن دراسة متابعة لـ SOHOpelessly Broken 1.0 التي نشرتها ISE في عام 2013. في ذلك الوقت ، كشفت الشركة عن 52 نقطة ضعف في 13 جهاز توجيه SOHO وأجهزة NAS من TP-Link و ASUS و Linksys وغيرها الباعة.
منذ نشر آخر دراسة لها ، لاحظت ISE أن العديد من أجهزة إنترنت الأشياء الحديثة قد طبقت آليات أمنية مفيدة بما في ذلك العشوائية تخطيط مساحة العنوان (ASLR) ، وظائف تهدف إلى إيقاف الهندسة العكسية وآليات التحقق من النزاهة لطلبات HTPP.
أبلغت الشركة عن كافة الثغرات التي اكتشفتها في SOHOpelessly Broken 2.0 لمصنعي الأجهزة المتأثرين والتي استجاب معظمها للشركة وبدأت في اتخاذ تدابير أمنية للتخفيف من هذه الثغرات. ومع ذلك ، لم تستجب Drobo و Buffalo Americas و Zioncom Holdings عند تقديمها مع نتائج ISE.
عبر أخبار هاكر
