Aggiornamenti recenti Gennaio 26th, 2023 2:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- I malware più interessanti del 2022 per Palo Alto Networks
- Microsoft bloccherà gli add-ins di Excel scaricati dal web
- Kaspersky prospetta un anno difficile per i SOC
- Creare un malware polimorfico con ChatGPT
- NVIDIA annuncia un framework di fingerprinting digitale basato sull’IA
Quante vulnerabilità per i NAS! Sono 125 per 13 modelli
Un nuovo report mette in evidenza la presenza di falle di sicurezza spaventose nei modelli più diffusi per utenti privati e piccoli uffici.
Rientrano nella grande famiglia della Internet of Things (IoT) ma hanno caratteristiche tutte loro. I NAS, oltre a condividere la generalizzata vulnerabilità agli attacchi dei dispositivi IoT, pongono infatti anche un altro problema: al loro interno sono custoditi dati di ogni genere, anche quelli che definiremmo “sensibili”.
La notizia (se così la possiamo chiamare) è che stando al report SOHOpelessly Broken 2.0 pubblicato dai ricercatori di ISE (Independent Security Evaluators) questa particolare categoria di dispositivi è esposta ad attacchi di ogni genere.
Dal documento pubblicato su Internet, che riassume uno studio che ha preso in considerazione 13 modelli SOHO (Small Office – Home Office) tra i più diffusi, emergono la bellezza di 125 vulnerabilità che mettono a rischio la riservatezza dei dati memorizzati nei dispositivi e la sicurezza stessa delle reti a cui sono collegati.
Le falle di sicurezza individuate dai ricercatori comprendono la possibilità di portare “classici” attacchi di Cross-Site Scripting, Cross-Site Request Forgery così come iniezioni di comandi e altre tecniche di attacco, che possono essere portate sia in remoto (purtroppo molto spesso) che dalla rete locale. In sintesi, in seguito ai test i ricercatori sono riusciti a ottenere il controllo completo di 12 dispositivi su 13.
La cosa più preoccupante è che in almeno in 5 modelli è possibile aggirare i sistemi di autenticazione per accedere all’interfaccia di configurazione e che in 7 dispositivi gli esperti sono riusciti a caricare file sfruttando vulnerabilità nel sistema di gestione degli upload. Per la cronaca, l’unico NAS a uscire “pulito” dai test è stato il Synology DS218j.
Buona parte delle vulnerabilità individuate sono già state corrette dai produttori. La procedura di disclosure, spiegano i ricercatori, non è però stata sempre facile. Alcuni dei produttori (Drobo, Buffalo Americas, e Zioncom Holdings) non hanno affatto risposto alle segnalazioni.
Dal report, in definitiva, emerge un elemento piuttosto interessante. Se abbiamo a cuore la sicurezza dei nostri sistemi, prima di verificare le caratteristiche di un dispositivo, dovremmo forse verificare che il produttore abbia un programma di bug bounty o partecipi a un programma collettivo.
In caso contrario potremmo ritrovarci tra le mani un dispositivo che potrebbe essere, sotto il profilo della cyber-security, un vero groviera.
Condividi l'articolo
Estensioni per Chrome rimosse dallo store. Facevano “cookie stuffing”
Apocalisse privacy: dati sensibili di milioni di utenti sul Web
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I malware più interessanti del 2022 per Palo Alto Networks Unit 42, il Threat Intelligence Team di Palo Alto Networks... -
Il ruolo del Business Attack Surface Management nella... L’Attack Surface Management comprende... -
Come proteggere le università dai cyber attacchi Non solo le imprese vengono colpite da attacchi... -
ChatGPT: una nuova arma nell’arsenale dei criminali... Da quando lo scorso novembre OpenAI ha rilasciato ChatGPT,... -
La cyber insurance impone requisiti più stringenti Negli ultimi anni il numero e la pericolosità delle...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Microsoft bloccherà gli add-ins di Excel scaricati dal web Nel tentativo di ridurre gli attacchi a Excel, Microsoft... -
Kaspersky prospetta un anno difficile per i SOC Kaspersky ha condiviso un’analisi che sottolinea le sfide... -
Creare un malware polimorfico con ChatGPT Eran Shimony e Omer Tsarfati, ricercatori dei CyberArk... -
NVIDIA annuncia un framework di fingerprinting digitale... NVIDIA ha annunciato la disponibilità di un nuovo... -
Attacchi OT/IoT in crescita nel 2022: il report di Nozomi... Nozomi Networks Labs ha pubblicato il nuovo OT/IoT Security...
Ransomware: la serie
No posts found.
