Ini 13 Router SOHO yang Rentan Keamanan, Apakah Milik Anda?
Ilustrasi. | Foto: The Hacker News
Cyberthreat.id - Dunia elektronik konsumen yang terhubung, IoT, dan perangkat pintar tumbuh lebih cepat dari sebelumnya dengan puluhan miliar perangkat yang terhubung streaming dan berbagi data secara nirkabel melalui Internet, tetapi seberapa aman itu?
“Ketika kita menghubungkan segala sesuatu mulai dari pembuat kopi hingga kunci pintu depan dan mobil ke internet, kita menciptakan lebih banyak cara potensial - dan mungkin lebih berbahaya - bagi peretas untuk menimbulkan kekacauan,” tulis The Hacker News, Senin (16 September).
“Percayalah, ada lebih dari 100 cara yang dapat dilakukan peretas untuk menghancurkan hidup Anda hanya dengan mengkompromikan router nirkabel Anda — perangkat yang mengontrol lalu lintas antara jaringan lokal Anda dan internet, mengancam keamanan dan privasi berbagai perangkat nirkabel, dari komputer dan telepon ke Kamera IP, TV pintar dan peralatan yang terhubung.”
Dalam studi terbaru yang berjudul "SOHOpelessly Broken 2.0," Independent Security Evaluators (ISE) menemukan total 125 kerentanan keamanan yang berbeda di 13 router small office/home office (SOHO) dan perangkat Network Attached Storage (NAS).
"Hari ini, kami menunjukkan bahwa kontrol keamanan yang dilakukan oleh produsen perangkat tidak memadai terhadap serangan yang dilakukan oleh musuh jarak jauh. Proyek penelitian ini bertujuan untuk mengungkap dan meningkatkan teknik baru untuk menghindari kontrol keamanan baru ini di perangkat yang tertanam," kata para peneliti sebagaimana ditulis The Hacker News.
Daftar Vendor Router Terdampak
Perute SOHO dan perangkat NAS yang diuji oleh para peneliti berasal dari pabrikan berikut:
- Buffalo
- Synology
- TerraMaster
- Zyxel
- Drobo
- ASUS dan anak perusahaannya Asustor
- Seagate
- QNAP
- Lenovo
- Netgear
- Xiaomi
- Zioncom (TOTOLINK)
Menurut peneliti keamanan, 13 perangkat yang banyak digunakan yang mereka uji memiliki setidaknya satu kerentanan aplikasi web yang memungkinkan penyerang jarak jauh untuk mendapatkan akses ke panel administratif perangkat yang terkena dampak.
Kerentanan ini berkisar dari cross-site scripting (XSS), pemalsuan permintaan lintas situs (CSRF), buffer overflow, injeksi perintah sistem operasi (OS CMDi), bypass otentikasi, injeksi SQL (SQLi), dan kerentanan jalur pengunggahan file unggahan file.
Kontrol Penuh Tanpa Otentikasi
Para peneliti mengatakan mereka berhasil mendapatkan cangkang root pada 12 perangkat, yang memungkinkan mereka untuk memiliki kontrol penuh atas perangkat yang terpengaruh, 6 di antaranya berisi kelemahan yang akan memungkinkan penyerang mengontrol perangkat dari jarak jauh dan tanpa otentikasi.
Router bisnis dan rumahan yang terpengaruh adalah Asustor AS-602T, Buffalo TeraStation TS5600D1206, TerraMaster F2-420, Drobo 5N2, Netgear Nighthawk R9000, dan TOTOLINK A3002RU.
Laporan baru ini, SOHOpelessly Broken 2.0, adalah studi lanjutan, SOHOpelessly Broken 1.0, yang diterbitkan oleh perusahaan keamanan ISE pada 2013, ketika mereka mengungkapkan total 52 kerentanan di 13 router SOHO dan perangkat NAS dari vendor termasuk TP-Link, ASUS, dan Linksys.
Sejak SOHOpelessly Broken 1.0, para peneliti mengatakan menemukan beberapa perangkat IoT yang lebih baru yang menerapkan beberapa mekanisme keamanan yang bermanfaat, seperti pengacakan tata letak ruang-alamat (ASLR), fungsionalitas yang menghambat rekayasa balik, dan mekanisme verifikasi integritas untuk permintaan HTTP.
Namun, beberapa hal belum berubah sejak SOHOpelessly Broken 1.0, seperti banyak perangkat IoT masih kekurangan fitur perlindungan aplikasi web dasar, seperti token anti-CSRF dan header keamanan browser, yang dapat sangat meningkatkan postur keamanan aplikasi web dan sistem yang mendasari mereka berinteraksi.
Peneliti ISE secara bertanggung jawab melaporkan semua kerentanan yang ditemukan kepada produsen perangkat yang terpengaruh, yang sebagian besar segera merespons dan telah mengambil langkah-langkah keamanan untuk mengurangi kerentanan ini, yang telah menerima Id CVE.
Namun, beberapa produsen perangkat, termasuk Drobo, Buffalo Americas, dan Zioncom Holdings, tidak menanggapi temuan para peneliti.[]
