近日,独立安全评估者(ISE,Independent Security Evaluators)的研究人员在最新报告《SOHOpelessly Broken 2.0》中,披露了13个品牌的小型办公室/家庭办公室(SOHO)路由器、网络附加存储设备(NAS)设备上的125处安全漏洞,可能会影响数百万个IoT设备。
这13个品牌分别是:布法罗、群晖、铁威马、合勤、Drobo、华硕、华芸科技、希捷、威联通、联想、网件、小米、TOTOLINK。
研究使用的设备型号及固件版本详见下表:
报告指出,这些参与测试的设备都含有至少一个允许黑客进行远程shell访问,或管理界面访问的漏洞,包括跨站点脚本(XSS),跨站点请求伪造(CSRF),缓冲区溢出,操作系统命令注入,身份验证绕过,SQL注入和文件上传路径遍历漏洞等。
研究人员称,他们成功地在12台设备上获取了根shell,从而能完全控制受影响的设备。其中6个设备的漏洞,允许攻击者远程控制设备而无需身份验证,这个6个设备分别是:华芸 AS-602T,布法罗 TeraStation TS5600D1206,铁威马F2-420,Drobo 5N2,网件 Nighthawk R9000、TOTOLINK A3002RU。
研究发现的网络设备漏洞类型详见下表:
厂商回应
目前研究人员已经将部分发现的漏洞通报给设备制造商,大多数厂商都迅速做出了回应,并已采取安全措施来修复这些漏洞,建议用户定期检查更新固件版本以确保安全性。
另外,以下厂商提供了漏洞奖励:群晖、小米、网件,其中,群晖和网件提供现金奖金,而小米提供了奖品。
独立安全评估者团队特别记录了与各厂商的沟通情况,见下表:
附录:125个漏洞列表
布法罗TeraStation TS5600D1206
CVE-2018-13323–通过“用户名”cookie跨站点脚本
CVE-2018-13322–通过路径遍历列出任意目录
CVE-2018-13319–未经认证的信息披露
CVE-2018-13324–jsonrpc api上的身份验证绕过
CVE-2018-13318–用户创建期间的命令注入(二阶)
CVE-2018-13320–NT域设置中的命令注入
CVE-2018-13321–通过JSONRPCAPI访问的内部函数
华硕RT-AC3200
CVE-2018-14710–通过appget.cgi反映跨站点脚本
CVE-2018-14711–appget.cgi上缺少跨站点请求伪造保护
CVE-2018-14714–通过appget.cgi中的load_script hook注入命令
CVE-2018-14713–通过appget.cgi中的nvram_match系列不受控制的格式字符串
CVE-2018-14712–通过appget.cgi中的delete_sharedfolder()实现堆栈缓冲区溢出
铁威马F2-420
CVE-2018-13334–系统名称验证和消毒不足
CVE-2018-13329–URL参数中的验证和清理不足(反映的XSS)
CVE-2018-13337–会话固定
CVE-2018-13338–用户创建中的系统命令注入(用户名)
CVE-2018-13336–用户创建中的系统命令注入(密码)
CVE-2018-13332–任意文件上传位置
CVE-2018-13333–通过文件管理器权限中的用户名持续跨站点脚本
CVE-2018-13331–通过控制面板中的用户名持续跨站点脚本
CVE-2018-13330–创建组时执行系统命令
CVE-2018-13335–通过控制面板中的共享文件夹描述持续跨站点脚本
CVE-2018-13357–通过控制面板中的共享文件夹名持续跨站点脚本
CVE-2018-13352–会话令牌作为文件存储在/tmp中
CVE-2018-13349–登录时通过用户名持续跨站点脚本
CVE-2018-13355–创建组时缺少授权检查
CVE-2018-13351–通过编辑用户表单反映跨站点脚本
CVE-2018-13356–用户编辑授权缺失
CVE-2018-13358–ajaxdata.php中的系统命令注入(checkname)
CVE-2018-13353–ajaxdata.php中的系统命令注入(checkport)
CVE-2018-13418–ajaxdata.php中的系统命令注入(用户重命名)
CVE-2018-13354–logtable.php中未经验证的系统命令注入
CVE-2018-13350–logtable.php中未经验证的SQL注入
CVE-2018-13361–未经验证的用户枚举
CVE-2018-13359–未经验证的反映跨站点脚本
CVE-2018-13360–在文本编辑器中反映跨站点脚本
Drobo 5N2
CVE-2018-14699–启用用户的用户名参数中未经验证的命令注入
CVE-2018-14697–启用用户中反映的跨站点脚本
CVE-2018-14698–删除用户中的跨站点脚本
CVE-2018-14701–删除用户中用户名参数中未经验证的命令注入
CVE-2018-14703–未经授权访问MySQL数据库密码
CVE-2018-14700–未经验证访问MySQL日志文件
CVE-2018-14695–未经授权访问mysql diag.php
CVE-2018-14696–未经验证通过mysql apidrobo.php访问设备信息
CVE-2018-14702–未经授权通过drobo pix apidrobo.php访问设备信息
CVE-2018-14704–通过mysql api drobopapps.php反映跨站点脚本
CVE-2018-14705–管理网页缺乏认证/授权
CVE-2018-14706–Drobopix中未经验证的命令注入
CVE-2018-14707–Drobo PIX中未经验证的任意文件上传
CVE-2018-14709–Drobo Dashboard和NASD之间的客户机–服务器通信认证不足
CVE-2018-14708–Drobo Dashboard和NASD之间的客户机–服务器通信中缺少传输安全性
合勤NSA325 V2
CVE-2018-14892–缺少请求源验证功能(无CSRF保护)
CVE-2018-14893–通过API注入低权限根命令
TOTOLINK A3002RU
CVE-2018-13313–在password.htm中返回管理员密码
CVE-2018-13312–notice-gen.htm中的跨站点脚本
CVE-2018-13308–notice-gen.htm中的跨站点脚本
CVE-2018-13309–password.htm中的跨站点脚本
CVE-2018-13310–password.htm中的跨站点脚本
CVE-2018-13315–密码更改期间缺少当前密码的服务器端验证
CVE-2018-13311–通过Samba用户名进行命令注入
CVE-2018-13306–通过ftp用户名进行命令注入
CVE-2018-13307–通过NTP服务器IP地址注入命令
CVE-2018-13314–福尔马西普指令注入
CVE-2018-13316–福尔马西普指令注入
CVE-2018-13317–通过URL过滤器进行跨站点脚本编写
华芸 AS-602T
CVE-2018-12311–文件资源管理器文件名缺少输入清理
CVE-2018-12308–共享文件夹加密密钥作为URL参数发送
CVE-2018-12305–通过SVG图像跨站点脚本
CVE-2018-12306–通过download.cgi遍历目录
CVE-2018-12314–通过downloadwallpaper.cgi遍历目录
CVE-2018-12309–通过upload.cgi遍历目录
CVE-2018-12316–通过文件名进行命令注入
CVE-2018-12313–未经验证的SNMP配置访问
CVE-2018-12307–通过用户添加命令注入
CVE-2018-12312–通过生成两步验证命令注入
CVE-2018-12310–登录页面上的跨站点脚本
CVE-2018-12319–登录拒绝服务
CVE-2018-12315–密码更改不需要现有密码
CVE-2018-12318–snmp.cgi以明文形式返回密码
CVE-2018-12317–group.cgi中的命令注入
希捷 STCR3000101
CVE-2018-12298–文件浏览器应用程序中缺少路径规范化
CVE-2018-12295–未能清理SQL语句中的用户输入
CVE-2018-12299–对用户提供的文件名的验证和清理不足
CVE-2018-12303–对用户提供的目录名的验证和清理不足
CVE-2018-12297–API端点验证和卫生处理不足
CVE-2018-12300–任意重定向
CVE-2018-12302–缺少cookie强化标志
CVE-2018-12296–服务器信息披露
CVE-2018-12304–App Manager中缺少输出清理
CVE-2018-12301–下载管理器允许使用本地主机和127.0.0.1
威联通 TS-870
CVE-2018-19941–在登录重定向期间存储为cookies的用户名和密码
CVE-2018-19942–文件管理器中不安全的“打开”功能
CVE-2018-19943–缺少对文件名的输入清理
CVE-2018-19944–以明文形式返回SNMP密码
CVE-2018-19945–任意路径文件上传
CVE-2018-19946–发出curl请求时缺少证书验证
CVE-2018-19947–详细错误消息(文件上传php文件路径泄漏)
CVE-2018-19948–CSRF文件上传(帮助台)
CVE-2018-19949–创建帐户后正确身份验证时在用户名中插入命令
CVE-2018-19950–上传内容至私人收藏时,在文件上传功能中的音乐站用户名中注入命令
CVE-2018-19951–在音乐站以文件名存储XSS
CVE-2018-19952–用于共享播放列表链接日志查看的MediaToolAPI中的SQLI
CVE-2018-19953–文件站共享链接创建者缺少输出清理
CVE-2018-19954–PhotoStation文件名中的持续跨站点脚本
CVE-2018-19955–photostation文件名中反映的跨站点脚本
CVE-2018-19956–通过URL参数反映photostation中的跨站点脚本
CVE-2018-19957–缺少强化标题
小米路由器3
CVE-2018-16130–请求MITV功能中的外壳输入验证不足
CVE-2018-13023–WiFi接入功能中外壳输入验证不足
CVE-2018-13022–通过API 404反射嗅探跨站点脚本
联想 ix4-300d
CVE-2018-9074–上传文件时的任意文件路径选择
CVE-2018-9075–客户端系统命令注入:PersonalCloudJoin中的密码参数
CVE-2018-9076–sharemodify中name参数中的系统命令注入
CVE-2018-9077–共享中的系统命令注入:sharemodify中的name参数
CVE-2018-9078–托管SVG图像时验证和清理不足
CVE-2018-9079–CAT URL参数中的验证和消毒不足
CVE-2018-9080–通过Iomega Cookie进行会话固定
CVE-2018-9081–文件参数中的验证和清理不足
CVE-2018-9082–密码更改不需要现有密码
群晖 DS218j
CVE-2018-13282–Photo Station应用程序中的会话固定
CVE-2018-13281–确定任意文件的存在和元数据
网件 Nighthawk R9000
CVE-2019-12510–通过x-forwarded-for标头绕过身份验证
CVE-2019-12511–通过SOAPAPI注入系统命令
CVE-2019-12512–通过x-forwarded-for标头跨站点脚本
CVE-2019-12513–通过恶意DHCP请求在日志中编写跨站点脚本
本文来源:ISE,由安数网络编译整理,转载请注明出处。
及时掌握网络安全态势 尽在傻蛋联网设备搜索系统
【网络安全监管部门】免费试用→→点击申请
更多安全资讯请关注:
微信公众号 安数网络;新浪微博 @傻蛋搜索
来源:freebuf.com 2019-09-24 17:30:03 by: 安数君
请登录后发表评论
注册