Sikkerhetsforskere har funnet et høyt antall sårbarheter i en rekke populære nettverksprodukter. Det melder blant andre nettstedet SecurityWeek.
I sin rapport SOHOpelessly Broken 2.0 undersøkte sikkerhetsselskapet Independent Security Evaluators (ISE) til sammen 13 SOHO-rutere (small office/home office) og NAS-enheter og fant sårbarheter som resulterte i hele 152 såkalte CVE-numre.
Kan gi hackere full kontroll
CVE-numre (Common Vulnerabilities and Exposures) er de offentlige referansenumrene for sårbarheter. Produktene som det ble funnet sårbarheter i kommer fra kjente produsenter som Seagate, Synology, Lenovo, Asus og Netgear.
ISE gjennomførte en tilsvarende studie tilbake i 2013 som kun resulterte i 52 CVE-er, som betyr at antallet sikkerhetshull har økt ganske kraftig i denne type produkter.
Ifølge ISE hadde samtlige av produktene i undersøkelsen minst én webapplikasjonssårbarhet, som omfatter «cross-site-scripting»-sårbarheter (XSS), «operating system command injection» (OS CMDi) eller «SQL injection» (SQLi).
Disse kan brukes av en angriper til å skaffe seg fjerntilgang til enhetenes «skall» (shell) eller til administrasjonspanelet. Sikkerhetsselskapet skriver at de klarte å skaffe seg rot-skalltilgang på 12 av de 13 enhetene i undersøkelsen, noe som gir full kontroll over enhetene.
Hadde seneste fastvare
I seks av tilfellene ble denne tilgangen oppnådd uten autentisering.
ISE har kontaktet samtlige av de aktuelle produsentene, hvorav de fleste responderte raskt. De sårbare enhetene i undersøkelsen hadde ifølge sikkerhetsselskapet de seneste versjonene av fastvaren installert.
Alle detaljene finner du i selve SOHOpelessly Broken 2.0-rapporten, som kan lastes ned her.
Produktene som er omfattet i undersøkelsen, og hvilke sårbarheter som ble funnet i hvert enkelt produkt, ser du under.
Les også: Disse gir super wifi-dekning overalt – uten at du trenger å trekke kabel til alle aksesspunktene »
| Buffer Overflow | Cross-Site Scripting | Command Injection | SQL injection | Authentication Bypass | Authorization Bypass | Cross-Site Request Forgery | File Upload Path Traversal | |
| Buffalo TeraStation TS5600D1206 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Synology DS218j* | ||||||||
| ASUS RT-AC3200 | ✓ | ✓ | ✓ | |||||
| Netgear Nighthawk R9000 | ✓ | ✓ | ✓ | ✓ | ||||
| TerraMaster F2-420 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Drobo 5N2** | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Zyxel NSA325 v2 | ✓ | ✓ | ||||||
| TOTOLINK A3002RU | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Asustor AS-602T | ✓ | ✓ | ✓ | |||||
| Seagate STCR3000101 | ✓ | ✓ | ✓ | |||||
| QNAP TS-870 | ✓ | ✓ | ✓ | ✓ | ||||
| Mi Router 3 | ✓ | ✓ | ||||||
| Lenovo ix4-300d | ✓ | ✓ | ✓ | ✓ |
