Descubren 125 fallas de seguridad en routers y dispositivos NAS de marcas conocidas
En la mayoría de los dispositivos analizados los investigadores lograron obtener acceso root remotamente y en algunos modelos incluso sin necesidad de autenticación.
Investigadores descubrieron un total de 125 fallas de seguridad tras analizar un total 13 routers y dispositivos de almacenamiento conectado en red, también conocidos como dispositivos NAS. El hallazgo de estas vulnerabilidades es consecuencia de un estudio realizado por una compañía llamada Independent Security Evaluators (ISE), quienes llevaron adelante un proyecto de investigación que demuestra que los controles de seguridad establecidos por los fabricantes de dispositivos IoT son insuficientes de cara a los ataques remotos que llevan adelante los cibercriminales.
Los especialistas analizaron dispositivos de una amplia variedad de modelos de distintos fabricantes, tanto diseñados para uso hogareño como empresarial, siendo en la mayoría de los casos de fabricantes con buena reputación y reconocidos en la industria, como: Xiaomi, Lenovo, Netgear, Buffalo, Synology, Zyxel, Drobo, ASUS, entre otros. En el siguiente enlace podrás conocer el listado completo de los modelos de routers y dispositivos NAS evaluados.
Cada uno de los 13 dispositivos analizados presentó al menos una vulnerabilidad de aplicación web, como puede ser cross-site scripting (XSS), inyección de comando en el sistema operativo o inyección SQL, las cuales pueden ser aprovechadas por un atacante para obtener acceso remoto al shell del dispositivo o al panel de administración. Asimismo, otro fallo común presente en varios de los dispositivos analizados permitía evadir la etapa de autenticación y autorización. En 12 de los dispositivos analizados los investigadores lograron obtener acceso root remotamente, lo que les permitió tomar control total del dispositivo.
Los investigadores del ISE reportaron cada uno de los fallos identificados a los fabricantes, quienes, en su mayoría, respondieron de manera rápida y fueron receptivos frente a las vulnerabilidades reportadas y tomaron las medidas correspondientes para reparar estos fallos. A continuación, dejamos enlaces a lecturas recomendadas que pueden resultar de interés para los lectores:
- Cómo analizar dispositivos IoT: vulnerabilidades más comunes y cómo encontrarlas
- Herramientas útiles para analizar dispositivos IoT
- 10 principales fallos de seguridad de los dispositivos IoT