ایسوس ملزم به دادن تعهد بازرسی ۲۰ ساله شد

در حال حاضر شرکت ایسوس در حال دست‌وپنجه نرم کردن با پرونده‌ای است که از سوی کمیسیون تجارت فدرال آمریکا علیه این شرکت و به دلیل اشکال امنیتی در مسیریاب‌ اقامه‌ی دعوی شده ‌است.
به تازگی از سوی سازمان تجارت جهانی اعلام شد که این شرکت تولیدکننده‌ی سخت‌افزار موافقت کرده ‌است تا به مدت ۲۰ سال، هر دو سال یک‌بار مورد ممیزی امنیتی قرار گیرد.
این اقدام در پاسخ به مشکل امنیتی مسیریاب‌های بی‌‌سیم ایسوس است که موجب شده‌ است صدها هزار شبکه‌ی خانگی و سازمانی در معرض خطر قرار گیرند.
اگر ایسوس از موافقت‌ به عمل آمده سر باز زند، به ازای هر تخطی باید مبلغ ۱۶ هزار دلار بپردازد.
از آن‌جایی که شرکت ایسوس محصولات خود را با عنوان محصولات امن و هوشمند در وب‌گاه خود معرفی کرده ‌است، احتمالاً اشکالاتی که در ادامه آمده ‌است سطح این امنیت و هوشمندی را زیر سؤال می‌برند.

نام کاربری و گذرواژه‌ی پیش‌فرض: Admin
در سال ۲۰۱۴ مشکلات عدیده‌ی امنیتی ایجاد شدند که به دلیل رمزهای عبور پیش‌فرض محصولات ایسوس بودند. مشخص شد که این شرکت مسیریاب‌هایش را با نام کاربری و رمز پیش‌فرض روانه‌ی بازار می‌کرده ‌است.
حتی یک اسکریپت ساده نیز می‌تواند از این خلل امنیتی استفاده کرده و به شبکه‌ی قربانی راه‌ یابد. در سال ۲۰۱۴ بسیاری از مسیریاب‌های شرکت ایسوس از همین طریق مورد سوءاستفاده قرار گرفتند.
به علاوه ایسوس حتی به مشتریانش نگفت که این نام‌های کاربری و رمزهای پیش‌فرض را تغییر دهد تا امنیت و حریم خصوصی شبکه‌شان حفظ شود.

پنل مدیریتی مسیریاب که به راحتی مورد نفوذ واقع می‌شود
در جریان بررسی‌ها، سازمان تجارت دریافت تقریباً تمامی معیارهای امنیتی از سوی ایسوس نادیده گرفته‌ شده‌اند. یکی از آسیب‌پذیری‌های موجود به نفوذگر اجازه می‌داد به پنل مدیریتی دسترسی پیدا کرده و تنظیمات امنیتی را از طریق واسط وب غیرفعال کند.

آسیب‌پذیری AiCloud و AiDisk شرکت ایسوس در برابر نفوذ از راه دور
سرویس‌های ابری که شرکت ایسوس ارائه می‌داد نیز آسیب‌پذیری‌هایی داشتند که به حمله‌کننده اجازه می‌دادند از راه دور و از هر نقطه‌ای از جهان به حافظه‌ی‌ شما دسترسی داشته ‌باشد.
سرویس AiCloud به مشتری این امکان را می‌دهد به پرونده‌هایش در محیط ابری دسترسی داشته‌ باشد، بدین ترتیب که مشتری می‌تواند پس از اتصال حافظه به مسیریاب از آن به عنوان یکی ابر کوچک بهره برد.
در این بین انجام حملات مرد میانی کار ساده‌ای است چرا که اطلاعات ورودی در هنگام انتقال داده به صورت رمزنشده هستند.
این اشکال در ژانویه‌ی ۲۰۱۴ به ایسوس گزارش شد، اما این شرکت از مشتریانش نخواست که ثابت‌افزاری را که این آسیب‌پذیری در آن برطرف شده‌ بود در مسیریاب‌ها به‌روزرسانی کنند.

اشکال در به‌روزرسانی
به‌روزرسانی‌ها معمول، در بسیاری موارد برطرف‌کننده‌ی آسیب‌پذیری‌ها هستند، اما این اتفاق در مورد ایسوس صادق نیست. بر اساس بررسی‌های انجام‌شده توسط FTV، دکمه‌ی «بررسی به‌روزرسانی‌ها» یک دکمه‌ی بی‌مصرف است که هیچ‌کاری انجام نمی‌دهد. به نظر می‌رسد مدیران مربوطه‌ی ایسوس، آخرین نسخه‌ها را برای به‌روزرسانی‌های پایگاه داده در محل مورد نظر قرار نداده‌اند و بدین تریب کار به‌روزرسانی انجام نمی‌شود.

دستگاه‌های اینترنت اشیاء در معرض خطر
این کابوس امنیتی زمانی بدتر می‌شود که صحبت از دستگاه‌های اینترنت اشیاء باشد. از آن‌جایی که مسیریاب‌ها دروازه‌های اتصالی برای دستگاه‌های IoT‌هستند، حمله‌کنندگان می‌توانند به آسانی دستورات مخرب خود را در دستگاه‌های مذکور اجرا کنند.
جسیکا ریچ، مدیر بخش محافظت از مشتریان FTC می‌گوید: «اینترنت اشیاء به سرعت در حال پیشرفت است، و میلیون‌ها مشتری دستگاه‌های هوشمند خود را به شبکه‌های خانگی‌شان متصل می‌کنند. مسیریاب‌ها نقشی حیاتی در شبکه‌های خانگی دارند. بنابراین برای ما بسیار مهم است که شرکت‌هایی مانند ایسوس جوانب امنیتی مختلف را به خوبی رعایت کنند تا از مشتریان و اطلاعات شخصی‌شان به خوبی محافظت شود.»
ایسوس موافقت کرده‌ است در این مسیر گام بردارد: هر زمانی که یک به‌روزسانی عرضه شد به کاربران خود اطلاع داده و راهنماهای لازم را برای به‌روزرسانی مورد نظر در اختیار آن‌ها قرار دهد.
این آسب‌پذیری‌ها فقط نیم‌نگاهی به یکی از تولید‌کنندگان مسیریاب از سال ۲۰۱۴بوده ‌است؛ اما پس از ماه‌ها از آن تاریخ بر اساس گزارش‌ها هنوز هم بیش از ۳۰۰ هزار مسیریاب شرکت‌های مختلفی هم‌چون DLink، میکرونت، تندا، TPLink هنوز هم توسط روش‌های مشابهی مورد سوءاستفاده قرار گرفته‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap