Производители встраиваемых устройств не тестируют их безопасность

image

Теги: тестирование, уязвимость, маршрутизатор

Исследователи выявили бреши путем анализа образов прошивки.  

Большое количество маршрутизаторов, DSL-модемов, VoIP-телефонов, IP-камер и других встраиваемых устройств содержат уязвимости, что указывает на недостаток тестирований безопасности со стороны производителей. К такому выводу пришли эксперты исследовательского центра EURECOM (Франция) и Рурского университета в Бохуме (Германия) на основе анализа сотен образов прошивки, находящихся в общественном доступе.

Для начала исследователи собрали 1 925 образов прошивки на основе Linux устройств от 54 производителей, однако им удалось запустить web-сервер только для 246 из них. Целью экспертов было обнаружение уязвимостей путем динамического анализа web-интерфейсов управления пакетов прошивки, проведенного с помощью инструментов с открытым исходным кодом. В результате было обнаружено 225 брешей в 46 анализируемых образах.

Также было проведено отдельное исследование, предполагавшее извлечение кода web-интерфейса и размещение на общем сервере, так что его можно было протестировать без эмуляции непосредственной среды прошивки. У этого теста есть свои недостатки, однако он был успешно проведен в отношении 515 пакетов прошивки, в 307 из которых были обнаружены уязвимости.

Помимо вышеописанных тестов, с помощью другого инструмента с открытым исходным кодом эксперты провели статический анализ извлеченного из образов прошивки PHP-кода. В результате в 145 образах было обнаружено 9046 уязвимостей.

С помощью статического и динамического анализа в web-интерфейсах 185 уникальных пакетов прошивки исследователи выявили опасные бреши, позволяющие выполнять команды, осуществлять SQL-инъекции и межсайтовый скриптинг. Эти уязвимости являются лакомым куском для злоумышленников, и возникает вопрос, почему сами производители не обнаружили и не исправили их? Не исключено, что они просто не проводят такие тестирования, а если и проводят, то недостаточно тщательно.  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus