У популярних моделях роутерів виявили 226 вразливостей

Дослідники з IoT Inspector, у співпраці з виданням Chip, перевірили безпеку багатьох популярних маршрутизаторів виробництва Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology та Linksys. На жаль, у результаті було виявлено 226 потенційних уразливостей.

Для оцінки маршрутизаторів постачальники надали Chip актуальні моделі, які були оновлені до останньої версії прошивки. Ці прошивки були автоматично проаналізовані IoT Inspector, ми протестували понад 5000 CVE та інші проблеми безпеки», — розповідають експерти.

На жаль, виявилося, що багато маршрутизаторів, як і раніше, є вразливими для давно відомих вразливостей, навіть якщо використовують новітні версії прошивок.

Лідерами за кількістю багів стали пристрої TP-Link Archer AX6000 (32 вразливості) та Synology RT-2600ac (30 вразливостей).

Хоча не всі виявлені проблеми несуть у собі однакові ризики, команда виявила деякі загальні недоліки, які є у більшості перевірених моделей:

— застаріле ядро ​​Linux у прошивці;

— застарілі функції мультимедіа та VPN;

— надмірне використання старих версій BusyBox;

— використання слабких паролів "за замовчанням", таких як admin;

— наявність жорстко закодованих облікових даних (відкритим тестом).

Глава IoT Inspector Ян Венденбург зазначає, що одним із найголовніших способів захисту маршрутизаторів є зміна пароля за умовчанням при першому налаштуванні пристрою.

— «Зміна паролів при першому використанні, а також включення функції автоматичного оновлення мають бути стандартною практикою для всіх IoT-пристроїв, незалежно від того, чи використовується пристрій вдома, чи в корпоративній мережі, — каже експерт. — Найбільшу небезпеку, крім вразливостей, що вносяться виробниками, є використання пристрою відповідно до девізу «підключи, грай і забудь»».

Всі виробники, чиї пристрої були визнані проблемними, відреагували на дослідження і випустили виправлення. Так автор Chip Йорг Гейгер повідомляє, що постачальники вже усунули більшість знайдених проблем.

Дослідники повідомили Bleeping Computer, що невиправленими залишилися в основному дрібні вразливості. У звіті експертів наведено такі дані щодо відповідей вендорів:

— Asus. Вивчила кожен пункт нашого аналізу та представила докладну відповідь. Asus виправила застарілу версію BusyBox, також випустила оновлення для curl і веб-сервера. Вони підкреслили, що проблеми з паролем були пов'язані з тимчасовими файлами, які видаляються при завершенні процесу, і не становили небезпеки.

— D-Link. Коротко подякувала нам за інформацію та опублікувала оновлення прошивки, яке усуває всі згадані проблеми.

— Edimax. Не витрачали багато часу на перевірку знайдених нами проблем, але врешті-решт представили оновлення прошивки, яке усунуло деякі прогалини.

— Linksys. Позначила свою позицію щодо всіх уразливостей, які класифікуються як проблеми «високого» та «середнього» ступеня серйозності. У майбутньому не планують використовувати паролі за замовчуванням, а також випустили оновлення прошивки для багів, що залишилися.

— Netgear. Багато працювали та уважно вивчали всі проблеми. Netgear вважала деякі проблеми "високого" ступеня серйозності не такими важливими. Вийшли оновлення для DNSmasq та iPerf, а інші проблеми будуть розглянуті насамперед.

— Synology. Вирішила згадані нами проблеми за допомогою оновлень ядра Linux. BusyBox та PHP будуть оновлені до нових версій, і для Synology незабаром очистять сертифікати. До речі, від цього виграють не лише роутери, а й інші пристрої компанії.

— TP-Link. З оновленнями BusyBox, CURL та DNSmasq компанія усунула багато проблем. Нового ядра немає, але планується випустити понад 50 виправлень.

Контакти

Україна, Київ, 04080,
Новокостянтинівська вулиця, 15/15

Про нас

Компанія Data Management IG спеціалізується на розробці, постачанні та впровадженні інформаційних систем роботи з різноманітними даними. Якісний збір та обробка інформації дозволяють швидко приймати обгрунтовані рішення та прогнозувати майбутні події.

Search