13家知名品牌的路由器出现漏洞

据外媒报道，9月16日，独立安全评估者（Independent Security Evaluators）的研究人员发布相关报告，披露了13种品牌的小型办公室/家庭路由器和网络附加存储设备中的125处漏洞。受到影响厂家包括：巴比禄、群晖科技、铁威马、合勤科技、Drobo、华硕及其子公司华芸科技、希捷、QNAP、联想、美国网件、小米和Zioncom（TOTOLINK）。

报告指出，这些参与测试的设备都含有至少一个允许黑客进行远程shell访问，或管理界面访问的漏洞 （包括跨站点脚本漏洞、操作系统命令注入漏洞和SQL注入漏洞等）。其中，华芸 AS-602T、巴比禄 TeraStation TS5600D1206、铁威马 F2-420、Drobo 5N2、美国网件 Nighthawk R9000及TOTOLINKA 3002RU中的漏洞还允许黑客完全接管设备，且无需经过身份验证。

研究人员表示，与之前的类似调查相比，此次参与测试的设备多了一些安全机制，如ASLR、反逆向工程保护以及对HTTP请求的完整验证机制等。但是，许多测试设备仍缺少基本的Web应用程序保护系统，如CSRF令牌和浏览器安全标头等。 目前，大部分厂商都已对此做出回应，但仍有小部分厂商没有做出任何解释。