Mobiln├ę Spr├ívy, Gadgety, Blogy's Secenziami

Slab├ę str├ínky sa nach├ídzaj├║ v popul├írnych smerova─Źoch a zna─Źk├ích NAS

V├Żskumn├şci v oblasti bezpe─Źnosti na┼íli celkom 125 r├┤znych slab├Żch miest zabezpe─Źenia v 13 smerova─Źoch mal├Żch kancel├írskych a dom├ícich kancel├íri├ş (SOHO) a zariadeniach NAS, ktor├ę by mohli ovplyvni┼ą mili├│ny pou┼ż├şvate─żov.

Zostavi┼ą najnov┼íiu ┼ít├║diu SOHOpelessly Broken 2,0, Nez├ívisl├ş hodnotitelia bezpe─Źnosti (ISE) testovali smerova─Źe SOHO a zariadenia NAS od spolo─Źnost├ş Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS a ich dc├ęrske spolo─Źnosti Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi a Zioncom (TOTOLINK).

Vedci zistili, ┼że v┼íetk├Żch 13 be┼żne pou┼ż├şvan├Żch zariaden├ş, ktor├ę testovali, obsahovalo najmenej jednu zranite─żnos┼ą webovej aplik├ície, ktor├í by mohla ├║to─Źn├şkovi umo┼żni┼ą z├şska┼ą pr├şstup k postihnut├ęmu zariadeniu vzdialen├Ż pr├şstup do shellu alebo pr├şstup na administrat├şvny panel.

Zisten├ę chyby zabezpe─Źenia ISE sa pohybovali od skriptovania medzi weby (XSS), fal┼íovania ┼żiadost├ş medzi weby (CSRF), prete─Źenia vyrovn├ívacej pam├Ąte, sistema operativo (OS CMDi), bypass overovania, SQL vstrekovania a cesty nahr├ívania s├║borov.

CELKOM po┼íkoden├ę 2,0

Pod─ża vedcov sa im podarilo umiestni┼ą zariadenie root shell 12, ktor├ę im umo┼żn├ş pln├║ kontrolu nad postihnut├Żm zariaden├şm. Okrem toho v┼íetk├Żch ┼íes┼ą testovan├Żch zariaden├ş obsahovalo slab├ę str├ínky, ktor├ę ├║to─Źn├şkovi umo┼żnili z├şska┼ą kontrolu nad zariaden├şm na dia─żku bez nutnosti overovania.

Obchodn├ę a dom├íce smerova─Źe, ktor├ę obsahuj├║ chyby ISE, s├║ Ausustor AS-602T, Bufallo TeraStation TS5600D1206, TerraMaster f2-420, Drobo 5N2, Netgear Nighthawk R9000 a TOTOLINK A3002RU.

Nov├í spr├íva spolo─Źnosti je n├íslednou ┼ít├║diou pre spolo─Źnos┼ą SOHOpelessly Broken 1,0 vydan├ę spolo─Źnos┼ąou ISE v roku 2013. V tom ─Źase spolo─Źnos┼ą odhalila celkom 52 zranite─żnost├ş v 13 zariadeniach SOHO Routers a NAS od spolo─Źnost├ş TP-Link, ASUS, Linksys a ─Ćal┼í├şch. Pred├ívaj├║ci.

Od zverejnenia najnov┼íej ┼ít├║die si ISE v┼íimla, ┼że niektor├ę nov┼íie zariadenia IoT implementovali u┼żito─Źn├ę bezpe─Źnostn├ę mechanizmy, vr├ítane priestorovej n├íhodnosti (ASLR), funkci├ş ur─Źen├Żch na zastavenie sp├Ątn├ęho in┼żinierstva a mechanizmov overovania integrity pre po┼żiadavky HTPP. ,

Spolo─Źnos┼ą hl├ísi v┼íetky zranite─żn├ę miesta n├íjden├ę v SOHOpently Broken 2,0 postihnut├Żm v├Żrobcom zariaden├ş a v├Ą─Ź┼íina reagovala na spolo─Źnos┼ą a za─Źala prij├şma┼ą bezpe─Źnostn├ę opatrenia na zn├ş┼żenie tejto zranite─żnosti. Drobo, Buffalo Americas a Zioncom Holdings v┼íak pri predlo┼żen├ş zisten├ş ISE neodpovedali.

Prostredn├şctvom slu┼żby Hacker News