Исследователи из IoT Inspector, в сотрудничестве с изданием Chip, проверили безопасность множества популярных маршрутизаторов производства Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys, которые используются миллионами людей. Увы, в итоге было выявлено 226 потенциальных уязвимостей, пишет Хакер.
«Для оценки маршрутизаторов поставщики предоставили Chip актуальные модели, которые были обновлены до последней версии прошивки. Эти прошивки были автоматически проанализированы IoT Inspector, мы протестировали более 5000 CVE и других проблем безопасности», — рассказывают эксперты.
К сожалению, оказалось, что многие маршрутизаторы по-прежнему уязвимы для давно известных уязвимостей, даже если используют новейшие версии прошивок.
Лидерами по количеству багов стали устройства TP-Link Archer AX6000 (32 уязвимости) и Synology RT-2600ac (30 уязвимостей).
Хотя не все обнаруженные проблемы несут в себе одинаковые риски, команда обнаружила некоторые общие недочеты, которые присутствуют в большинстве проверенных моделей:
Глава IoT Inspector Ян Венденбург отмечает, что одним из главнейших способов защиты маршрутизаторов является изменение пароля по умолчанию при первой настройке устройства.
«Смена паролей при первом использовании, а также включение функции автоматического обновления должны быть стандартной практикой для всех IoT-устройств, независимо от того, используется ли устройство дома или в корпоративной сети — говорит эксперт. — Наибольшую опасность, помимо уязвимостей, вносимых производителями, представляет использование устройства в соответствии с девизом “подключи, играй и забудь”».
Все производители, чьи устройства были признаны проблемными, отреагировали на исследование было и выпустили исправления. Так, автор Chip Йорг Гейгер сообщает, что поставщики уже устранили большинство найденных проблем.
Исследователи сообщили изданию Bleeping Computer, что неисправленными остались в основном мелкие уязвимости. В отчете экспертов приведены следующие данные по ответам вендоров:
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.