(报告中评估的设备品牌)在其中12个案例中,ISE 设法利用这些热门路由器和 NAS 设备中的漏洞获得远程根权限。这些漏洞包括缓冲区溢出问题、跨站脚本错误、命令注入安全缺陷、XSS 请求伪造和 SQL 注入问题等。
ISE 指出,每款所评估的设备都包含至少一个可被用于获取远程 shell 访问权限或获得管理员面板越权访问权限的漏洞。总体而言,六款设备易遭未经验证的远程利用。ISE 将漏洞报告和 PoC 代码通知给受影响供应商。多数公司收下了这些报告,其中三家公司直接和 ISE 合作缓解这些安全问题。然而,多家供应商尚未做出任何回应。ISE 公司的研究员 Rick Ramgattie 表示,“我们的研究结果表示,企业和家庭仍然易受可导致重大损害的利用。在当前的任何 web 应用中这些漏洞都是无法被接受的。当前,安全专业人员和开发人员都能够通过工具检测并修复我们发现、利用并在六年前就已披露的多数问题。我们的研究结果显示,这些问题仍然还常常能在IoT 设备中找到。”尽管存在无缝漏洞披露实践和漏洞奖励计划,但我们当前的 IoT 安全状态似乎并无任何改进。每周,我们都能看到新的联网设备攻击向量出现。趋势科技公司的研究人员最近发现地下论坛正在将攻击联网天然气管道和智能电网的讨论变成现实。完整报告请参见:https://www.securityevaluators.com/whitepaper/sohopelessly-broken-2 推荐阅读确认过眼神,遇到免费易用的固件安全检测工具 威联通 NAS 设备遭神秘恶意软件攻击,尚无补丁