Independent Security Evaluatorは9月16日(米国時間)、「SOHOpelessly Broken 2.0 - Independent Security Evaluators」において、市場に出回っているルータやNASを調査したところ、13個のデバイスにリモートアクセスを許可するような125個の脆弱性が見つかったと報告した。ベンダーはプロダクトのセキュリティに対する関心の高さをうたっているが、十分なセキュリティ機能は実現されていないと指摘されている。
脆弱性が存在するとされるプロダクトおよびファームウェアのバージョンは次のとおり。
- Buffalo TeraStation TS5600D1206 (3.61〜0.08)
- Synology DS218j (6.1.5)
- TerraMaster F2-420 (3.1.03)
- Zyxel NSA325 v2 (4.81)
- Drobo 5N2 (4.0.5-13.28.96115)
- Asustor AS-602T (3.1.1)
- Seagate STCR3000101 (4.3.15.1)
- QNAP TS-870 (4.3.4.0486)
- Lenovo ix4-300d (4.1.402.34662)
- ASUS RT-AC3200 (3.0.0.4.382.50010)
- Netgear Nighthawk R9000 (1.0.3.10)
- TOTOLINK A3002RU (1.0.8)
- Xiaomi Mi Router 3 (2.22.15)
-
SOHOpelessly Broken 2.0 - Independent Security Evaluator
Independent Security Evaluatorは発見した脆弱性についてすべてのベンダーに報告している。13のベンダーのうち、10のベンダは迅速な対応と解決へ向けた取り組みが確認できたとしている。残り3つのベンダーからは返事が得られていないという。
上記のプロダクトが自分の使っているプロダクトに該当するかどうかを調査するとともに、該当している場合はベンダーから提供されるセキュリティ情報に注目し、アップデートが提供された場合は迅速にアップデートを適用することが望まれる。
調査の対象には著名なベンダーの製品が選択されており、さらに対象を広げたら、もっと多くのモデルに脆弱性が発見される可能性がある。また、脆弱性が修正されたファームウェアが提供されたとしても、ユーザーが適用するとは限らないため、かなりの数のデバイスが脆弱な状態で運用され続ける可能性がある。
