Detectadas 125 vulnerabilidades en 13 modelos de routers y dispositivos NAS
- Vulnerabilidades
Los dispositivos analizados tenían al menos una vulnerabilidad de aplicación web, como cross-site scripting (XSS), inyección de comandos del sistema operativo (OS CMDi) o inyección SQL (SQLi), que un atacante podría aprovechar para obtener acceso remoto al dispositivo.
Se han encontrado más de un centenar de vulnerabilidades en routers de pequeñas oficinas y oficinas domésticas y en dispositivos de almacenamiento conectados a la red (NAS), de proveedores que incluyen Asus, Zyxel, Lenovo, Netgear y otros nombres importantes, que los abren a atacantes remotos. De acuerdo con los Evaluadores de seguridad independientes, que analizaron 13 modelos diferentes, fueron 125 los fallos encontrados.
“Los 13 dispositivos que evaluamos tenían al menos una vulnerabilidad de aplicación web, como cross-site scripting (XSS), inyección de comandos del sistema operativo (OS CMDi) o inyección SQL (SQLi), que un atacante podría aprovechar para obtener acceso remoto al shell del dispositivo u obtener acceso al panel administrativo del dispositivo", apuntan los investigadores. "Obtuvimos root shells en 12 de los dispositivos, lo que permite un control completo sobre el dispositivo, incluidos seis que pueden explotarse de forma remota sin autenticación: el Asustor AS-602T, el Buffalo TeraStation TS5600D1206, el TerraMaster F2-420, el Drobo 5N2, el Netgear Nighthawk R9000, y el TOTOLINK A3002RU ".
El análisis también hizo un análisis de las medidas de seguridad básicas que generalmente se incorporan a este tipo de dispositivos en general, y descubrió que algunos de los routers y NAS examinados tenían características mejoradas. No obstante, las características de aplicaciones web que se encuentran comúnmente, como los tokens anti-CSRF y los encabezados de seguridad del navegador, eran pocas y distantes en el conjunto de muestras.
"Estos mecanismos de defensa en profundidad pueden mejorar en gran medida la postura de seguridad de las aplicaciones web y los sistemas subyacentes con los que interactúan", señalan los investigadores. "En muchos casos, nuestros exploits remotos no habrían funcionado si se hubieran implementado las prácticas habituales de seguridad de las aplicaciones web".
Los investigadores informaron de los problemas a los fabricantes, la mayoría de los cuales respondieron y tomaron medidas de mitigación; sin embargo, no pudieron comunicarse con Drobo, Buffalo Americas o Zioncom Holdings.