Expertos en seguridad han descubierto aproximadamente 125 defectos en más de una docena de routers de oficinas pequeñas / domésticas (los cuales se conocen por la abreviatura de SOHO) y que también afecta a dispositivos de almacenamiento conectados a la red (NAS). La investigación es parte de un proyecto denominado SOHOpepeless Broken 2.0.
El proyecto comenzó en 2013, por aquel entonces en su versión 1.0, en donde los investigadores evaluaron la seguridad de 13 routers SOHO y dispositivos NAS. Dentro de los tipos de dispositivos afectados se incluyen controladores industriales, routers SOHO, dispositivos NAS y cámaras IP. Los expertos probaron routers SOHO y dispositivos NAS (Network Attached Storage) de los siguientes proveedores:
- Buffalo
- Synology
- TerraMaster
- Zyxel
- Drobo
- ASUS
- Seagate
- QNAP
- Lenovo
- Netgear
- Xiaomi
- Zioncom (TOTOLINK)
La investigación arrojó un problema a nivel de aplicación web en cada dispositivo que probaron, la vulnerabilidad podría ser explotada por un atacante remoto para obtener acceso shell al dispositivo o acceder al panel administrativo del dispositivo.
Los expertos obtuvieron acceso root en 12 de los 13 dispositivos probados, que como resultado permite tomar un completo control de los sistemas vulnerables; 6 de los defectos pueden ser explotados de forma remota sin requerir autenticación en los siguientes modelos, Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000 y TOTOLINK A3002RU.
La lista completa de defectos descubiertos por los investigadores. incluyen problemas de omisión de autorización y autenticación, desbordamientos de búfer, inyección de comandos, inyecciones SQL (SQLi), ataques Cross-Site Scripting (XSS), falsificación de solicitudes entre sitios (CSRF) y vulnerabilidades transversales de ruta en la carga de archivos.
Según los expertos, el nivel de seguridad para los dispositivos IoT ha mejorado ligeramente desde SOHOpelessly Broken 1.0, por lo que solo se encontró un número limitado de dispositivos que implementan mecanismos de defensa, como la aleatorización del diseño del espacio de direcciones (ASLR), funcionalidades que dificultan la ingeniería inversa y mecanismos de verificación de integridad para solicitudes HTTP.
Los investigadores revelaron de manera responsable todas las vulnerabilidades que descubrieron a los proveedores afectados, la mayoría de ellos respondieron rápidamente y abordaron los problemas. Desafortunadamente, algunos fabricantes, como Drobo, Buffalo Americas y Zioncom Holdings, no respondieron frente al tema.
REFERENCIA
COMENTARIOS