Chercheurs évaluateurs de sécurité indépendants a découvert 125 différentes vulnérabilités dans 13 modèles de routeurs et de stockage en réseau (NAS).
[lettrine]Beaucoup[/lettrine] d'entre eux peuvent être exploités à distance par un attaquant non autorisé."Nous montrons que les contrôles de sécurité mis en place par les fabricants d'appareils sont insuffisants contre les attaques menées par des adversaires distants. Ce projet de recherche visait à découvrir et à exploiter de nouvelles techniques pour contourner ces nouveaux contrôles de sécurité dans les appareils embarqués », — disent les spécialistes des évaluateurs de sécurité.
Les vulnérabilités affectent les éléments suivants SOHO (petit bureau/bureau à domicile) routeurs et périphériques de stockage en réseau (NAS): Buffalo TeraStation TS5600D1206, Synology DS218j, ASUS RT-AC3200, Netgear Nighthawk R9000, TerraMaster F2-420, Boîte de dépôt 5N2, Zyxel NSA325 v2, TOTOLINK A3002RU, Asustor AS-602T, Seagate STCR3000101, QNAP TS-870, Mi Routeur 3 et Lenovo ix4-300d.
La liste des produits vulnérables comprend à la fois des appareils grand public et des équipements performants à usage professionnel.
"Malgré l'attention accrue portée à la sécurité par les fabricants d'appareils, ces appareils IoT ne disposent pas de contrôles de sécurité suffisants pour empêcher l'exploitation à distance », — réclamer des experts en évaluateurs de sécurité.
Selon les chercheurs, tous 13 les appareils testés présentaient au moins une vulnérabilité dans les applications Web, tels que les scripts intersites (XSS), implémentation des commandes du système d'exploitation (CMD du système d'exploitation), ou injection SQL (SQLi), qui pourrait être exploitée par un attaquant pour accéder à distance au shell ou au panneau d'administration de l'appareil.
Les chercheurs ont pu pirater 12 dispositifs, dont six n'avaient même pas besoin d'autorisation (Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Boîte de dépôt 5N2, Netgear Nighthawk R9000 et TOTOLINK A3002RU).
Lire aussi: Instagram a éliminé la menace de la vie privée des utilisateurs
Des spécialistes ont informé les fournisseurs des vulnérabilités découvertes et nombre d'entre eux ont pris des mesures pour résoudre les problèmes. Cependant, les chercheurs n'ont pas reçu de réponse de Drobo, Buffalo Americas ou Zioncom Holdings.
Recommandations des évaluateurs de sécurité pour les particuliers et les entreprises:
Lors de l'achat de nouveaux équipements IoT, la sécurité des appareils doit être importante. Les fabricants ayant un historique de nombreuses vulnérabilités de sécurité doivent être évités; de même, la façon dont un fabricant a géré les problèmes de correctifs et la durée pendant laquelle les appareils sont pris en charge doivent également être des considérations importantes.
Une fois les appareils achetés et installés, les administrateurs doivent les renforcer en désactivant les fonctionnalités inutilisées, activation des contrôles de sécurité, si disponible, et mettre en œuvre une stratégie de correctifs pour appliquer régulièrement les mises à jour du micrologiciel. En particulier, les fonctionnalités d'accès à distance doivent être évitées dans la mesure du possible car elles exposent l'appareil à des adversaires sur Internet, plutôt que de limiter les menaces à ceux d'un réseau interne.
Laissez un commentaire