路由设备安全_ 13种路由器和NAS设备被曝共存在125个安全漏洞

据媒体报道，研究人员调查了13种不同的路由器和NAS设备，共发现了125种CVE (安全漏洞)。 调查对象为华硕( Asus )、Zyxel、联想、Netgear等多家知名制造商制造的居家工作路由器和NAS，样品的范围从面向一般消费者的设备到面向企业的高端设备，结果不理想，发现了125种远程攻击者可以使用的CVE

研究结果表明，13个经评估的设备中至少有一个Web应用程序存在漏洞，如站点间脚本( XSS )、os命令注入( OS CMDi )和SQL注入( SQLi )，攻击者利用这些漏洞远程访问设备并在设备的管理面板中进行访问 研究人员用13台设备中的12台获得了root shells，可以完全控制设备。 其中有6台无需身份验证即可远程供攻击者使用的设备。 Asustor AS-602T、Buffalo TeraStation TS5600D1206、TerraMaster F2-420、Drobo 5N2、Netgear Nighthawk R9000和TOTOLINK A3002RU。

关于个别错误也值得强调。 例如，Buffalo TeraStation TS5600D1206作为企业级NAS，拥有用户可以管理设备的Web应用程序，但由于Cookie漏洞，远程攻击者无需认证即可启用或禁用服务

另一个高端标志路由器Netgear Nighthawk X10 R9000被发现容易受到代码注入攻击。 该攻击是基于SOAP的移动应用，管理员可以操作网络设置、显示设备日志、管理质量服务等。

研究人员将这些问题公开给制造商，大部分都应对了，采取了缓和措施。 但是，Drobo、Buffalo Americas、Zioncom Holdings还没有任何反应。

资料来源: Kanxue

如果您喜欢这样的文章，请使用评论功能↓，或注意

声明:转载这篇文章是公益传播更多信息的目的。 如果源代码错误或者侵害了您的合法权益，请把作者的所有权证明书联系本网。 我们马上订正并删除。 谢谢你。