独立したセキュリティ評価者の研究者 発見しました 125 さまざまな脆弱性 13 ルーターとネットワーク接続ストレージのモデル (NAS).
[ドロップキャップ]多くの[/ドロップキャップ] そのうちの 3 つは、権限のない攻撃者によってリモートから悪用される可能性があります.「デバイスメーカーが導入したセキュリティ管理は、遠隔の敵対者によって実行される攻撃に対して不十分であることを示しています。. この研究プロジェクトは、組み込みデバイスにおけるこれらの新しいセキュリティ制御を回避するための新しい技術を発見し、活用することを目的としていました。」, — セキュリティ評価専門家は言う.
脆弱性は以下に影響します ソーホー (小規模オフィス/ホームオフィス) ルーターとネットワーク接続ストレージデバイス (NAS): バッファロー テラステーション TS5600D1206, Synology DS218j, ASUS RT-AC3200, ネットギア ナイトホーク R9000, テラマスター F2-420, ドロロボ5N2, ザイクセル NSA325 v2, TOTOリンク A3002RU, Asustor AS-602T, シーゲイト STCR3000101, QNAP TS-870, Miルーター 3 およびレノボ ix4-300d.
脆弱な製品のリストには、消費者向けのデバイスと企業向けの高性能機器の両方が含まれています.
「デバイスメーカーがセキュリティへの関心を高めているにもかかわらず、, これらの IoT デバイスには、リモート悪用を防ぐための十分なセキュリティ制御がありません。」, — セキュリティ評価者の専門家が主張.
研究者によると, 全て 13 テストされたデバイスには Web アプリケーションに少なくとも 1 つの脆弱性がありました, クロスサイトスクリプティングなど (XSS), オペレーティング システム コマンドの実装 (OSCMDi), またはSQLインジェクション (SQLi), 攻撃者がシェルやデバイス管理パネルにリモートでアクセスするために悪用される可能性があります。.
研究者らはハッキングに成功した 12 デバイス, そのうち 6 件は承認さえ必要としませんでした (Asustor AS-602T, バッファロー テラステーション TS5600D1206, テラマスター F2-420, ドロロボ5N2, Netgear Nighthawk R9000 および TOTOLINK A3002RU).
こちらもお読みください: Instagram はユーザーのプライバシーの脅威を排除しました
専門家は発見された脆弱性をサプライヤーに通知し、多くのサプライヤーが問題を修正する措置を講じました。. しかし, 研究者らはDroboからの応答を受け取らなかった, バッファロー・アメリカズまたはZioncom Holdings.
消費者および企業ユーザー向けのセキュリティ評価者の推奨事項:
新しいIoT機器を購入する場合, デバイスのセキュリティは重要であるべきです. 多数のセキュリティ脆弱性を抱えたメーカーは避けるべきです; 同じく, メーカーがパッチの問題にどのように対処したか、デバイスのサポート期間も重要な考慮事項となります。.
デバイスを購入して設置した後, 管理者は未使用の機能を無効にして機能を強化する必要があります, セキュリティ制御を有効にする, 可能な場合は, ファームウェアのアップデートを定期的に適用するためのパッチ戦略の実装. 特に, リモート アクセス機能は、デバイスをインターネット上の敵にさらすため、可能な限り使用しないでください。, 脅威を内部ネットワーク上の脅威に限定するのではなく、.
コメントを残す