华硕，联想，网件和其他路由器被发现125个可远程利用的漏洞

独立研究人员在13种不同的路由器和NAS模型中发现了125种不同的CVE。

在包括华硕，合勤，联想，网件和其他顶级域名的供应商的小型办公室/家庭办公室（SOHO）路由器和网络附加存储设备（NAS）中发现了100多个漏洞，这些漏洞向远程攻击者开放。

这是根据独立安全评估员的说法，它对13种不同型号进行了笔测试，产生了125种不同的CVE。目标范围从为一般消费者设计的设备到为企业用途设计的高端设备; 并且全面，结果并不好。

“我们评估的所有13个设备至少有一个Web应用程序漏洞，例如跨站点脚本（XSS），操作系统命令注入（OS CMDi）或SQL注入（SQLi），攻击者可利用这些漏洞获取远程访问设备的外壳或访问设备的管理面板，“研究人员在周一发布的一篇论文中说。“我们在12台设备上获得了根壳，允许对设备进行完全控制，其中包括6台无需认证即可远程利用的设备：Asustor AS-602T，Buffalo TeraStation TS5600D1206，TerraMaster F2-420，Drobo 5N2，Netgear Nighthawk R9000，和TOTOLINK A3002RU。“

至于个别错误，该团队在文章中强调了几个。例如，Buffalo TeraStation TS5600D1206是一款企业级NAS，具有用户管理其设备上运行的服务的Web应用程序，在处理cookie方面存在问题。漏洞利用可用于启用或禁用服务，或执行通过Web应用程序可用的其他操作。

“TeraStation的Web应用程序使用浏览器cookie作为其身份验证工作流程的一部分，并使用/ nasapi端点提供的JSON-RPC API与设备进行交互，”研究人员解释说。“每当用户向API端点发出请求时，后端都会验证该请求是否包含与有效用户关联的cookie，然后验证用户的授权。我们发现将HTTP Host请求标头更改为127.0.0.1或localhost（环回接口的IP地址和名称）会绕过身份验证和授权检查。因此，任何具有网络级别访问权限的用户都可以在不进行身份验证的情况下发出请求。“

在另一个例子中，Netgear Nighthawk X10 R9000（高端旗舰路由器）被发现易受代码注入攻击，包括通过基于SOAP的移动应用程序，允许管理员操纵常见的网络设置，查看设备日志，管理质量服务以及其他各种设置。点击放大。

“管理移动应用程序的初步测试显示，'X-Forwarded-For'HTTP标头由应用程序解释，”研究人员说。“此标头通常由负载平衡器用于将客户端的IP地址传送到下游服务，但如果使用不当，可能会导致意外问题。此设备似乎将标头的内容解释为客户端的真实IP地址，覆盖以前的任何值。此设备似乎还将来自其自身IP地址的请求列入白名单，允许在不管理身份验证的情况下内部使用API。结合使用时，这两个功能使攻击者能够绕过SOAP API上的所有身份验证检查。这是因为X-Forwarded-For HTTP标头是客户端控制的，并且设备不受任何类型的负载平衡器或反向代理的保护。此外，X-Forwarded-For标头不是禁止标头。因此，它可以通过JavaScript中的XHR请求发送。“

该分析还总结了这些类型的设备通常构建的基本安全措施; 它发现一些被检查的路由器和NAS确实具有增强功能。

“例如......华硕路由器[设计]具有地址空间布局随机化（ASLR），这是一种加强缓冲区溢出攻击的强化功能，”报告称。“我们还发现一些制造商已经实施了阻碍逆向工程的功能。Terramaster F2-420使用名为“screw_aes”的PHP模块加密用于为其PHP Web应用程序提供服务的文件，这使得访问管理面板源代码的过程变得复杂。希捷STCR3000101拥有自己的请求完整性验证机制，可防止攻击者修改请求HTTP请求。“

尽管如此，常见的Web应用程序功能（如反CSRF令牌和浏览器安全标头）在样本集中很少见。

“这些纵深防御机制可以极大地增强网络应用程序及其与之交互的底层系统的安全状态，”研究人员说。“在许多情况下，如果实施了传统的Web应用程序安全实践，我们的远程攻击将无法工作。”

研究人员表示，ISE负责任地向制造商披露了这些问题，其中大部分是响应并采取了缓解措施。然而，他们无法与Drobo，Buffalo Americas或Zioncom Holdings合作。

他们写道：“截至本文发表之日，我们尚未收到Buffalo Americas Inc.和Zioncom Holdings Ltd.的任何新信息。” “我们能够与Drobo公司取得联系。但是，在我们重新发送调查结果后，我们没有收到任何其他通讯。“

这三家公司都没有立即回复外媒的评论请求。

转发是对我们最大的鼓励

                                                                                            点个在看吧↓