close

0918 TWCERT_CC 研究人員發現 Lenovo 等品牌 13 種 NAS、路由器的 125 個資安漏洞.png

獨立資安研究人員發現 125 個全新資安漏洞,存在於知名網通品牌 ASUS、Zyxel、Lenovo、Netgear 等家用到中小企業級的路由器或 NAS 等 13 款裝置之中。

被發現的各種資安漏洞,包括控制用 web 界面的 XSS 漏洞、作業系統指令注入(OS CMDi)、SQL 指令注入等。

研究人員指出,駭侵者可利用這些漏洞遠端進入系統 shell,或是取得管理者權限;其中有六種裝置甚至可以完全跳過身分認證機制。

這份研究報告同時指出,部分受測機種已經導入較過去先進的資安機制,但仍有一些機種的 web 界面,連基本的 CSRF 攻擊防護能力都付之闕如。

部分廠商皆已完成修補,建議使用相關設備之消費者盡快更新。

詳細的漏洞調查結果,可參閱文後的參考連結。

 

 

  • 影響產品(版本):見研究報告

​​​​​​​

  • 參考連結
  • https://www.securityevaluators.com/whitepaper/sohopelessly-broken-2/
  • https://threatpost.com/asus-lenovo-routers-remotely-exploitable-bugs/148361/

 

  • 【更多資訊產品漏洞】請參考 https://twcert.org.tw/twcert/advistory
arrow
arrow
    文章標籤
    TWCERT 台灣電腦網路危機處理暨協調中心 TWCERTCC NAS
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄