พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ NAS ที่ใช้งานภายในออฟฟิศขนาดเล็กหรือโฮมออฟฟิศ (SOHO) 13 ยี่ห้อ เสี่ยงถูกแฮ็กเกอร์เจาะเข้ามายังระบบภายในและละเมิดความเป็นส่วนบุคคลได้

Credit: Maksim Kabakou/ShutterStock

ISE ได้ทำการตรวจหาช่องโหว่บน Router และ NAS ยอดนิยมจำนวน 13 ยี่ห้อ ได้แก่ Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS และ Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi และ Zioncom (TOTOLINK) พบว่าแต่ละยี่ห้อต้องมีช่องโหว่ Web Application อย่างน้อย 1 รายการที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ผ่าน Remote Shell หรือ Admin Panel ได้จากระยะไกล ตัวอย่างช่องโหว่ เช่น Cross-site Scripting (XSS), Cross-site Request Forgery (CSRF), Buffer Overflow, OS Command Injection, Authentication Bypass, SQL Injection และ File Upload Path Traversal

Credit: SecurityEvaluators.com

ทีมนักวิจัยจาก ISE ระบุว่า พวกเขาประสบความสำเร็จในการเข้าถึง Root Shell บนอุปกรณ์ 12 รายการ ส่งผลให้สามารถเข้าควบคุมอุปกรณ์ได้ตามความต้องการ ที่สำคัญคือมีอุปกรณ์ 6 รายการที่สามารถโจมตีได้จากระยะไกลและไม่ต้องพิสูจน์ตัวตนด้วย

ISE ได้รายงานช่องโหว่เหล่านี้ไปยังเจ้าของผลิตภัณฑ์ที่เกี่ยวข้องทุกราย ซึ่งส่วนใหญ่ก็ได้ดำเนินการแพตช์หรือแก้ปัญหาเป็นที่เรียบร้อยแล้ว

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://www.securityevaluators.com/whitepaper/sohopelessly-broken-2/

ที่มา: https://thehackernews.com/2019/09/hacking-soho-routers.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร่วมเสวนาด้าน Cybersecurity สำหรับหน่วยงาน CII ทั้ง 8 กลุ่ม ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity ของหน่วยงาน/องค์กรโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ทั้ง 8 กลุ่ม รวมถึงนักเรียนนักศึกษาและประชาชนที่สนใจ เข้าร่วมการเสวนาด้าน Cybersecurity สำหรับหน่วยงาน/องค์กรด้าน CII ในงาน …

พบแฮ็กเกอร์ใช้ Add-in บน Microsoft Visual Studio เป็นช่องทางในการโจมตี

พบแฮ็กเกอร์ใช้ Add-in บน Microsoft Visual Studio เป็นช่องทางในการโจมตี