ADPT

พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ NAS ที่ใช้งานภายในออฟฟิศขนาดเล็กหรือโฮมออฟฟิศ (SOHO) 13 ยี่ห้อ เสี่ยงถูกแฮ็กเกอร์เจาะเข้ามายังระบบภายในและละเมิดความเป็นส่วนบุคคลได้

Credit: Maksim Kabakou/ShutterStock

ISE ได้ทำการตรวจหาช่องโหว่บน Router และ NAS ยอดนิยมจำนวน 13 ยี่ห้อ ได้แก่ Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS และ Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi และ Zioncom (TOTOLINK) พบว่าแต่ละยี่ห้อต้องมีช่องโหว่ Web Application อย่างน้อย 1 รายการที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ผ่าน Remote Shell หรือ Admin Panel ได้จากระยะไกล ตัวอย่างช่องโหว่ เช่น Cross-site Scripting (XSS), Cross-site Request Forgery (CSRF), Buffer Overflow, OS Command Injection, Authentication Bypass, SQL Injection และ File Upload Path Traversal

Credit: SecurityEvaluators.com

ทีมนักวิจัยจาก ISE ระบุว่า พวกเขาประสบความสำเร็จในการเข้าถึง Root Shell บนอุปกรณ์ 12 รายการ ส่งผลให้สามารถเข้าควบคุมอุปกรณ์ได้ตามความต้องการ ที่สำคัญคือมีอุปกรณ์ 6 รายการที่สามารถโจมตีได้จากระยะไกลและไม่ต้องพิสูจน์ตัวตนด้วย

ISE ได้รายงานช่องโหว่เหล่านี้ไปยังเจ้าของผลิตภัณฑ์ที่เกี่ยวข้องทุกราย ซึ่งส่วนใหญ่ก็ได้ดำเนินการแพตช์หรือแก้ปัญหาเป็นที่เรียบร้อยแล้ว

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://www.securityevaluators.com/whitepaper/sohopelessly-broken-2/

ที่มา: https://thehackernews.com/2019/09/hacking-soho-routers.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนาออนไลน์ VMware : เปลือยโซลูชัน Anywhere Workspace ที่สร้างประสบการณ์ที่ดีให้พนักงานได้จริง

ในการทำงานจากที่บ้านหรือนอกสถานที่นั้น ได้เปลี่ยนภาพวิธีการทำงานของผู้คน ทั้งพนักงานเอง ข้อปฏิบัติขององค์กร หรือวิธีการบริหารจัดการ ซึ่งส่งผลกระทบกับทุกฝ่าย อย่างไรก็ดี VMware ได้เล็งเห็นแล้วการทำงานจากที่ใดก็ได้ องค์กรจำเป็นต้องมีเครื่องมือที่เป็นมากกว่าแค่การบริหารจัดการอุปกรณ์ แต่ต้องตอบโจทย์ได้ทั้ง การบริหารจัดการ รวมถึงต้องสามารถกำกับดูแลวิธีการใช้งานและการเชื่อมต่อ นอกจากนี้ยังต้องสอดคล้องกับระเบียบข้อบังคับและรักษาความเป็นส่วนตัวของพนักงานไปพร้อมๆกัน ไปจนถึงให้ประสิทธิภาพการทำงานที่ดีที่สุด …

[Video Webinar] สร้างความมั่นคงปลอดภัยให้ระบบ IT ด้วย Sophos Managed Threat Response

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยายSophos Webinar เรื่อง “สร้างความมั่นคงปลอดภัยให้ระบบ IT ด้วย Sophos Managed Threat Response” พร้อมอัปเดตแนวโน้มภัยคุกคามล่าสุดและการวางกลยุทธ์ด้านความมั่นคงปลอดภัยอย่างมีประสิทธิภาพ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ