圖片來源:threatpost
昨晚周杰倫新歌《說好不哭 》一經發售,全網轟動。
不少人卻在關鍵時刻發現頁面無法重新整理。
還以為是自家的路由器出了問題。
隨後查明是QQ音樂後臺崩潰,原來是虛驚一場。
不過,你的路由器真的沒問題嗎?
13種路由器和NAS裝置共存在125個CVE
研究人員在對13種不同的路由器和NAS裝置進行調查後,共發現了125種不同的CVE。
調查物件包括華碩(Asus)、Zyxel、聯想(Lenovo)、Netgear等多個知名廠商的生產的居家辦公路由器和NAS,樣本目標範圍從面向普通消費者的裝置到面向企業使用的高階裝置,但結果並不理想,共有125種可被遠端攻擊者利用的不同的CVE被發現。
調查結果表明評估的13個裝置中至少有一個Web應用程式漏洞,例如跨站點指令碼(XSS),作業系統命令注入(OS CMDi)或SQL隱碼攻擊(SQLi),攻擊者可利用這些漏洞獲取遠端訪問裝置以及訪問裝置的管理皮膚的許可權。
研究人員共在13臺裝置中的12臺上獲得了 root shells,從而能夠對裝置進行完全控制。其中還有6臺無需身份認證就可以被攻擊者遠端利用的裝置:Asustor AS-602T、Buffalo TeraStation TS5600D1206、TerraMaster F2-420、Drobo 5N2、Netgear Nighthawk R9000和TOTOLINK A3002RU。
不同型號裝置的個別bug
至於個別bug,也值得強調。例如,Buffalo TeraStation TS5600D1206作為一款企業級NAS,具有一個能夠使使用者管理裝置執行的Web應用程式,但它在Cookie方面的漏洞可以使遠端攻擊者在不進行身份驗證的情況下啟用或禁用服務,或者執行Web應用程式中的其他操作。
在另一款高階旗艦路由器中,即Netgear Nighthawk X10 R9000被發現容易受到程式碼注入攻擊,此攻擊是基於SOAP的移動應用程式,該應用程式允許管理員操控網路設定、檢視裝置日誌、管理質量服務以及其他各種設定等。
此裝置不受任何型別的負載平衡器或反向代理的保護。允許將來自自身IP地址的請求列入白名單,從而使攻擊者能夠利用漏洞繞過SOAP API上的所有身份驗證檢查。
此外,這些被調查的路由器和NAS之所以受歡迎,也是有原因的。在分析裝置的內建的基本安全措施時發現,大部分效能都有一定的增強。
例如,華碩路由器具有ASLR,這是一種針對緩衝區溢位攻擊的保護功能。此外,還發現一些製造商已經實現了阻礙逆向工程的功能。
Terramaster F2-420使用名為"screw_aes"的PHP模組對其PHP Web應用程式提供服務的檔案進行加密,從而使訪問管理皮膚原始碼的過程變得複雜。
希捷STCR3000101擁有請求完整性驗證機制,可以防止攻擊者修改HTTP請求。
儘管如此,常見的Web應用程式功能(如anti-CSRF tokens和HTTP headers )在樣本中很少見。
而恰恰是這些傳統的Web應用程式的防禦機制,卻能夠極大地增強Web應用程式以及系統的安全狀態,以阻止遠端攻擊。
研究人員向製造商披露了這些問題,其中大部分響應並採取了緩解措施。然而,Drobo,Buffalo Americas和Zioncom Holdings仍然沒有對此做出任何回應。
*本文由看雪編輯 LYA 編譯自 Threat post,轉載請註明來源及作者。