Sicurezza

125 vulnerabilità in router e NAS di 13 brand mettono a rischio milioni di utenti

Se possedete un router e o un NAS SOHO (Small Office/Home Office) prodotto da Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS, Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi o Zioncom (Totolink) allora inizate a preoccuparvi perché siete potenzialmente a rischio. I ricercatori di ISE (Independent Security Evaluators) hanno infatti pubblicato un nuovo report proprio sulla sicurezza dei prodotti di questi brand, affermando di avervi rilevato ben 125 diverse vulnerabilità, che espongono quindi a un potenziale rischio milioni di utenti in tutto il mondo.

Le diverse vulnerabilità non sono ovviamente tutte presenti in ciascuno dei router o dei NAS ma sono distribuite trasversalmente e riguardano cross-site scripting (XSS), cross-site request forgery (CSRF), buffer overflow, operating system command injection (OS CMDi), authentication bypass, SQL injection e file upload path traversal. Secondo ISE i dispositivi testati contengono almeno una di queste vulnerabilità, che consentirebbero a malintenzionati di accedere al pannello delle impostazioni come amministratori di sistema.

‎I ricercatori, infatti, sono stati in grado di ottenere il controllo completo di 12 dei dispositivi interessati, mentre sei di essi conteneva vulnerabilità che permettono a potenziali aggressori di assumerne il controllo da remoto, senza nemmeno dover effettuare l’autenticazione.‎

‎Il nuovo report rappresenta il seguito di uno studio pubblicato nel 2013, che rivelava l’esistenza di altre 52 vulnerabilità in 13 router SOHO e dispositivi NAS di TP-Link, ASUS, Linksys e altri produttori.‎ ‎L’ISE sostiene comunque di aver già proceduto a contattare tutte le aziende coinvolte, la maggior parte delle quali avrebbe già risposto, iniziando anche a lavorare sulle misure di sicurezza da prendere per mitigare queste vulnerabilità. Tuttavia, Drobo, Buffalo Americas e Sioncom Holdings non hanno ancora risposto.‎

Il NAS Western Digital My Cloud EX2 Ultra non è presente nella lista ed è acquistabile su Amazon al costo di 157 euro, grazie a uno sconto del 21%.