[Cảnh Báo] Phát hiện 125 lỗ hổng bảo mật mới trong các bộ định tuyết và các thiết bị NAS từ nhiều hãng thiết bị phổ biến
Trong xu thế vạn vật kết nối, tại mỗi thời điểm có hàng chục tỷ các thiết bị điện tử tiêu dùng, IoT và các thiết bị thông minh được kết nối và chia sẻ dữ liệu thông qua mạng Internet. Từ những thiết bị thông thường như máy pha cà phê đến những thiết bị quan trọng như ổ khóa cửa thông minh hiện tại đang kết nối thông qua Internet thông các thiết bị định tuyến không được bảo mật. Thật vậy, có đến hơn 100 cách mà các tin tặc có thể tấn công trực tiếp vào cuộc sống của bạn bằng cách tấn công vào các lỗ hổng bảo mật nằm trên các bộ định tuyến.
[Cảnh báo] - Phát hiện 125 lỗ hổng bảo mật mới trong các bộ định tuyết và các thiết bị NAS từ nhiều hãng thiết bị phổ biến - CyberSec365.org |
Trong nghiên cứu mới nhất của mình có tiêu đề "SOHOplessly Broken 2.0", Independent Security Evaluators (ISE - một đơn vị đánh giá bảo mật độc lập) đã phát hiện ra tổng cộng 125 lỗ hổng bảo mật khác nhau trên 13 bộ định tuyến văn phòng / hộ gia đình (SOHO) và thiết bị lưu trữ mạng (NAS), có khả năng ảnh hưởng đến hàng triệu người.
Các nhà nghiên cứu cho biết: "Chúng tôi thấy rằng các biện pháp kiểm soát an ninh được các nhà sản xuất thiết bị áp dụng không đủ để chống lại các cuộc tấn công từ xa của tin tặc. Dự án nghiên cứu này nhằm tìm kiếm và tận dụng các kỹ thuật mới để xâm nhập vào trong các thiết bị nhúng".
Danh sách các nhà cung cấp bộ định tuyến bị ảnh hưởng:
Các bộ định tuyến SOHO và thiết bị NAS được các nhà nghiên cứu kiểm tra là của các nhà sản xuất sau:
- Buffalo
- Synology
- TerraMaster
- Zyxel
- Drobo
- ASUS and its subsidiary Asustor
- Seagate
- QNAP
- Lenovo
- Netgear
- Xiaomi
- Zioncom (TOTOLINK)
Theo các nhà nghiên cứu bảo mật, tất cả 13 thiết bị phổ biến của các hãng trên mà họ đã thử nghiệm đều có ít nhất một lỗ hổng bảo mật nằm trong ứng dụng web có thể cho phép kẻ tấn công từ xa chiếm quyền truy cập hoặc truy cập vào bảng điều khiển của thiết bị bị ảnh hưởng.
[Cảnh báo] - Phát hiện 125 lỗ hổng bảo mật mới trong các bộ định tuyết và các thiết bị NAS từ nhiều hãng thiết bị phổ biến - CyberSec365.org |
Kiểm soát hoàn toàn các thiết bị mà không cần xác thực
Các nhà nghiên cứu cho biết họ đã chiếm được quyền root (quyền quản trị cao nhất) trên 12 thiết bị, cho phép kiểm soát hoàn toàn các thiết bị bị ảnh hưởng, trong đó có 6 lỗ hổng cho phép kẻ tấn công có thể kiểm soát hoàn toàn thiết bị từ xa và không cần xác thực.Các bộ định tuyến bị ảnh hưởng bao gồm: Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000, và TOTOLINK A3002RU.
Được biết, bản báo cáo SOHOplessly Broken 2.0 là phần tiếp theo của bản báo cáo SOHOplessly Broken 1.0 được hãng công bố vào năm 2013. Tại thời điểm đó, các nhà nghiên cứu phát hiện tổng cộng 52 lỗ hổng bảo mật trong 13 bộ định tuyết và các thiết bị NAS đến từ các nhà cung cấp bao gồm TP-Link, ASUS và Linksys.
Kể từ SOHOpelessly 1.0, các nhà nghiên cứu cho biết họ đã tìm thấy một vài thiết bị IoT mới hơn triển khai một số cơ chế bảo mật hữu ích, như ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR), các chức năng cản trở kỹ thuật đảo ngược và cơ chế xác minh tính toàn vẹn cho các yêu cầu HTTP.
Tuy nhiên, một số thứ không thay đổi kể từ SOHOplessly Broken 1.0, như nhiều thiết bị IoT vẫn thiếu các tính năng bảo vệ ứng dụng web cơ bản, như mã thông báo chống CSRF và tiêu đề bảo mật trình duyệt, có thể cải thiện đáng kể khả năng bảo mật của các ứng dụng web và các hệ thống cơ bản mà chúng tương tác.
Các nhà nghiên cứu của ISE đã báo cáo một cách có trách nhiệm tất cả các lỗ hổng mà họ phát hiện ra cho các nhà sản xuất thiết bị bị ảnh hưởng, hầu hết đều phản hồi kịp thời và đã thực hiện các biện pháp bảo mật để giảm thiểu các lỗ hổng này, đã nhận được định danh CVE.
Tuy nhiên, một số nhà sản xuất thiết bị, bao gồm cả Drobo, Buffalo Americas và Zioncom Holdings, đã không phản hồi về báo cáo các nhà nghiên cứu.
Đại Phát (Theo TheHackerNews)
Không có nhận xét nào