tp路由器一阵阵断网（TPLink联想华硕路由器曝安全漏洞）

独立安全评估员（ISE） 在其最新的题为“ SOHOpelessly Broken 2.0 ”的研究中发现，13个小型办公室/家庭办公室（SOHO）路由器和网络附加存储（NAS）设备共有125个不同的安全漏洞，可能影响数百万用户。

研究指出，设备制造商实施的安全控制措施不足以抵御远程攻击者开展的攻击。该研究项目旨在揭示和利用新技术来规避嵌入式设备中的安全漏洞。

受影响的路由器供应商列表

• 水牛

• 群晖

• 铁威马

• 合勤

• Drobo产品

• 华硕及其子公司Asustor

• 希捷

• QNAP

• 联想

• 美国网件

• 小蜜

• Zioncom（TOTOLINK）

根据安全研究人员的说法，他们测试的这13个设备中，每个设备存在至少一个Web应用程序漏洞，漏洞允许远程攻击者获得远程shell访问权限或设备的管理面板。

这些漏洞包括跨站点脚本（XSS），跨站点请求伪造（CSRF），缓冲区溢出，操作系统命令注入（OS CMDi），身份验证绕过，SQL注入（SQLi）和文件上载路径遍历漏洞。

在13台设备中，6个包含的漏洞可以让攻击者远程获得对设备的完全控制，无需验证。

这些受影响的商用和家用路由器是Asustor AS-602T，Buffalo TeraStation TS5600D1206，TerraMaster F2-420，Drobo 5N2，Netgear Nighthawk R9000和TOTOLINK A3002RU。

这份新报告SOHOpelessly Broken 2.0是一份后续研究，SOHOpelessly Broken 1.0，由ISE安全公司于2013年发布，当时他们披露了包括TP-Link在内的13家SOHO路由器和NAS设备共52个漏洞，华硕和Linksys。

ISE研究人员向受影响的设备制造商报告了他们发现的所有漏洞，其中大多数漏洞迅速做出响应并已采取安全措施来缓解已经收到CVE ID的这些漏洞。

然而，包括Drobo，Buffalo Americas和Zioncom Holdings在内的一些设备制造商没有回应研究人员的调查结果。

目前，国内受影响的路由器品牌包括联想、华硕、TPLink。

文章翻译整合自：the Hacker News