19/09/19
Исследователи из компании Independent Security Evaluators обнаружили 125 различных уязвимостей в 13 моделях маршрутизаторов и сетевых хранилищ (NAS). Многие из них могут быть проэксплуатированы удаленно неавторизованным злоумышленником.
Уязвимости затрагивают следующие маршрутизаторы категории SOHO (small office/home office) и сетевые устройства хранения данных (NAS): Buffalo TeraStation TS5600D1206, Synology DS218j, ASUS RT-AC3200, Netgear Nighthawk R9000, TerraMaster F2-420, Drobo 5N2, Zyxel NSA325 v2, TOTOLINK A3002RU, Asustor AS-602T, Seagate STCR3000101, QNAP TS-870, Mi Router 3 и Lenovo ix4-300d. В список уязвимых продуктов входят как устройства для обычных потребителей, так и высокопроизводительное оборудование для корпоративного использования.
По словам исследователей, все 13 протестированных устройств имели как минимум одну уязвимость web-приложения, такую как межсайтовый скриптинг (XSS), внедрение команд операционной системы (OS CMDi) или внедрение SQL (SQLi), которые могут быть проєксплуатированы злоумышленником для удаленного доступа к оболочке или административной панели устройства.
Исследователи смогли взломать 12 устройств, для шести из которых даже не требовалась авторизация (Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000 и TOTOLINK A3002RU).
Специалисты сообщили поставщикам об обнаруженных уязвимостях и многие из них приняли меры по устранению проблем. Тем не менее, исследователи так и не получили ответ от компаний Drobo, Buffalo Americas или Zioncom Holdings.
