nas系统和高端路由器（13种路由器和NAS设备被曝共存在125个安全漏洞）

9月17日，据外媒报道， 研究人员在对13种不同的路由器和NAS设备进行调查后，共发现了125种不同的CVE（安全漏洞）。调查对象包括华硕（Asus）、Zyxel、联想（Lenovo）、Netgear等多个知名厂商的生产的居家办公路由器和NAS，样本目标范围从面向普通消费者的设备到面向企业使用的高端设备，但结果并不理想，共有125种可被远程攻击者利用的不同的CVE被发现，这可能使数百万人容易遭受黑客攻击。

调查结果表明评估的13个设备中至少有一个Web应用程序漏洞，例如跨站点脚本（XSS），操作系统命令注入（OS CMDi）或SQL注入（SQLi），攻击者可利用这些漏洞获取远程访问设备以及访问设备的管理面板的权限。研究人员共在13台设备中的12台上获得了 root shells，从而能够对设备进行完全控制。其中还有6台无需身份认证就可以被攻击者远程利用的设备：Asustor AS-602T、Buffalo TeraStation TS5600D1206、TerraMaster F2-420、Drobo 5N2、Netgear Nighthawk R9000和TOTOLINK A3002RU。

至于个别bug，也值得强调。例如，Buffalo TeraStation TS5600D1206作为一款企业级NAS，具有一个能够使用户管理设备运行的Web应用程序，但它在Cookie方面的漏洞可以使远程攻击者在不进行身份验证的情况下启用或禁用服务，或者执行Web应用程序中的其他操作。

在另一款高端旗舰路由器中，即Netgear Nighthawk X10 R9000被发现容易受到代码注入攻击，此攻击是基于SOAP的移动应用程序，该应用程序允许管理员操控网络设置、查看设备日志、管理质量服务以及其他各种设置等。

研究人员向制造商披露了这些问题，其中大部分响应并采取了缓解措施。然而，Drobo，Buffalo Americas和Zioncom Holdings仍然没有对此做出任何回应。

来源：Kanxue

https://zhuanlan.kanxue.com/article-9415.htm