Os pesquisadores descobriram um total de 125 falhas de segurança após analisar um total de 13 roteadores e dispositivos de armazenamento conectados em rede, também conhecidos como dispositivos NAS.
A descoberta destas vulnerabilidades é resultado de um estudo realizado pela Independent Security Evaluators (ISE), quem levou adiante um projeto de pesquisa que demonstrou que os controles de segurança estabelecidos pelos fabricantes de dispositivos IoT são insuficientes diante dos ataques remotos realizados por cibercriminosos.
Os especialistas analisaram dispositivos de uma ampla variedade de modelos de diferentes fabricantes, ambos projetados para uso doméstico e comercial, sendo na maioria dos casos de fabricantes com boa reputação e reconhecidos na indústria, tais como: Xiaomi, Lenovo, Netgear, Buffalo, Synology, Zyxel, Drobo, ASUS, entre outros. No link a seguir, você poderá conhecer a lista completa de modelos de roteadores e dispositivos NAS avaliados.
Cada um dos 13 dispositivos analisados apresentou pelo menos uma vulnerabilidade de aplicação web, como o cross-site scripting (XSS), injeção de comando no sistema operacional ou injeção de SQL, que pode ser explorada por um atacante para obter acesso remoto ao shell do dispositivo ou ao painel de administração. Além disso, outra falha comum presente em vários dos dispositivos analisados permitiu burlar o estágio de autenticação e autorização.
Em 12 dos dispositivos analisados, os pesquisadores conseguiram obter acesso root remotamente, o que lhes permitiu assumir o controle total do dispositivo.
Os pesquisadores da ISE relataram cada uma das falhas identificadas aos fabricantes, que, em sua maioria, responderam rapidamente as vulnerabilidades relatadas e tomaram as medidas apropriadas para corrigir essas falhas.
