13种路由器和NAS设备共存在125个CVE

研究人员在对13种不同的路由器和NAS设备进行调查后，共发现了125种不同的CVE。

调查对象包括华硕(Asus)、Zyxel、联想(Lenovo)、Netgear等多个知名厂商的生产的居家办公路由器和NAS，样本目标范围从面向普通消费者的设备到面向企业使用的高端设备，但结果并不理想，共有125种可被远程攻击者利用的不同的CVE被发现。

调查结果表明评估的13个设备中至少有一个Web应用程序漏洞，例如跨站点脚本（XSS），操作系统命令注入（OS CMDi）或SQL注入（SQLi），攻击者可利用这些漏洞获取远程访问设备以及访问设备的管理面板的权限。

研究人员共在13台设备中的12台上获得了 root shells，从而能够对设备进行完全控制。其中还有6台无需身份认证就可以被攻击者远程利用的设备：Asustor AS-602T、Buffalo TeraStation TS5600D1206、TerraMaster F2-420、Drobo 5N2、Netgear Nighthawk R9000和TOTOLINK A3002RU。

不同型号设备的个别bug

至于个别bug，也值得强调。例如，Buffalo TeraStation TS5600D1206作为一款企业级NAS，具有一个能够使用户管理设备运行的Web应用程序，但它在Cookie方面的漏洞可以使远程攻击者在不进行身份验证的情况下启用或禁用服务，或者执行Web应用程序中的其他操作。

在另一款高端旗舰路由器中，即Netgear Nighthawk X10 R9000被发现容易受到代码注入攻击，此攻击是基于SOAP的移动应用程序，该应用程序允许管理员操控网络设置、查看设备日志、管理质量服务以及其他各种设置等。

此设备不受任何类型的负载平衡器或反向代理的保护。允许将来自自身IP地址的请求列入白名单，从而使攻击者能够利用漏洞绕过SOAP API上的所有身份验证检查。

此外，这些被调查的路由器和NAS之所以受欢迎，也是有原因的。在分析设备的内置的基本安全措施时发现，大部分性能都有一定的增强。

例如，华硕路由器具有ASLR，这是一种针对缓冲区溢出攻击的保护功能。此外，还发现一些制造商已经实现了阻碍逆向工程的功能。

Terramaster F2-420使用名为"screw_aes"的PHP模块对其PHP Web应用程序提供服务的文件进行加密，从而使访问管理面板源代码的过程变得复杂。

希捷STCR3000101拥有请求完整性验证机制，可以防止攻击者修改HTTP请求。

尽管如此，常见的Web应用程序功能（如anti-CSRF tokens和HTTP headers ）在样本中很少见。

而恰恰是这些传统的Web应用程序的防御机制，却能够极大地增强Web应用程序以及系统的安全状态，以阻止远程攻击。

研究人员向制造商披露了这些问题，其中大部分响应并采取了缓解措施。然而，Drobo，Buffalo Americas和Zioncom Holdings仍然没有对此做出任何回应。

*本文由看雪编辑 LYA 编译自 Threat post，转载请注明来源及作者。

声明：该文观点仅代表作者本人，转载请注明来自看雪