低確率 Linksys Testaankoop によって報告されたセキュリティ問題
潜在的なセキュリティ問題の報告は真剣に受け止め、 Linksysホームルーターのパイオニアであり、4年近くグローバルに事業を展開してきた企業として、当社のセキュリティ手順と対応は常に事実に基づいており、透明性があります。この通信は、Testaankoopによって最初に報告されたセキュリティ問題の報告に対する公開応答ですが、この問題はTestaankoopから発生したものではなく、同社が問題を再現したことを確認または証明したわけでもありません。現在までに、Rapid7以外の誰も、 Linksys 当社製品のテストを委託した企業は、特殊なラボ環境で、特殊なツールを使用し、LAN と WAN の両方に対して無制限の権限を付与してのみ、問題を再現することができました。
以下の回答を読む前に、次のことを理解することが重要です。 Linksys'アーキテクチャと操作は業界独自のものです。当社は、ホームルーターまたは Linksys モバイルアプリ。 Linksys モバイルアプリでは、インストールと設定中に選択されたデータ要素が使用されますが、保存されたり監視されたりすることはありません。 Linksysブラウザベースのローカルユーザーインターフェースを使用する場合、インストール、構成、または継続的な操作に使用されるデータは表示されず、保存されることもありません。 Linksys; すべてはデバイス内にローカルに残ります。
低確率のタイムライン Linksys セキュリティ問題が報告されました 注文する
以下の回答を読む前に、次のことを理解することが重要です。 Linksys'アーキテクチャと操作は業界独自のものです。当社は、ホームルーターまたは Linksys モバイルアプリ。 Linksys モバイルアプリでは、インストールと設定中に選択されたデータ要素が使用されますが、保存されたり監視されたりすることはありません。 Linksysブラウザベースのローカルユーザーインターフェースを使用する場合、インストール、構成、または継続的な操作に使用されるデータは表示されず、保存されることもありません。 Linksys; すべてはデバイス内にローカルに残ります。
低確率のタイムライン Linksys セキュリティ問題が報告されました 注文する
- 19年2023月XNUMX日: 受信された Rapid7 レポート、 代理で執行 Linksys、3件のセキュリティ構成に関する低確率(優先度3/重大度2)の懸念について Linksys 小売SKU
- 28年2023月XNUMX日: Linksys マーケティングからメールが転送されました Which? この同じ脆弱性を(Rapid7と全く同じ文言を使用して)報告すると、 Linksys 開発
- 28年2023月XNUMX日: Linksys 開発は対応した Which? 同日、セキュリティフォームを提出し、 Linksys 開発
- 30年2023月XNUMX日: Which? 答え Linksys 28月XNUMX日のリクエストでしたが、追加の詳細が提供されず、問題を再現できることを確認できませんでした。
- 4年2023月XNUMX日: Which? Bug Crowd 経由で公開レポートを提出し、問題を中程度の確率にアップグレードしましたが、追加/実行可能な詳細は提供されませんでした。
- 5年2023月XNUMX日: バグクラウド 問題を再現できないことを確認し、Whichに詳細情報を問い合わせた。WhichはBugCrowdのリクエストに応答しなかった。
- 5年2023月XNUMX日: ベルギーの市場調査員がメール Linksys マーケティングは、提出されたBugCrowdレポートを参照しましたが、追加の詳細を提供しておらず、確認もしていませんでした。
- 限定公開: 影響を受けるSKU 2つ(Linksys Velop Pro 6Eと Linksys Velop Pro 7) - WAN/ISP 側に限定されたセキュリティ構成の問題を悪用するには、「悪意のある人物」は、ホーム ルーターへのリアルタイムの物理的アクセスと、ISP ネットワークを通過するための完全な可視性と許可に加えて、高度に専門化されたツールが必要になります。
- 低確率の現実世界リスク: 潜在的な悪用には、複数の非常に起こりそうにない条件が揃うことが必要になります。
- ホームルーターへの物理的および有線アクセス(ハッカーが特殊なツールを持って自宅にいる必要がある)
- ISP インフラストラクチャと暗号化へのアクセス (ISP の許可が必要、またはネットワークがハッキングされる)
- の使用 Linksys モバイルアプリ(大多数) Linksys ユーザーは、モバイル アプリではなく、ローカル UI/ブラウザを使用して影響を受ける SKU を構成します。
- 発見: Linksys 請負業者Rapid7は、優先度3/重大度3に分類された問題を発見し報告しました。
- P3/S3の問題は報告後6~9か月以内に修正されることが多い
- Linksys サーバー側の変更(ファームウェアに依存しない) Linksys 報告されたセキュリティ構成の問題を防ぐサーバー側の構成変更の制御されたロールアウトはすでに開始されています。ロールアウト中にダウンタイムが発生することはありません。
- Linksys クライアント側の変更: 影響を受ける2つの小売SKUのクライアント側ファームウェアには、上記のサーバー側の変更に対する追加の保護が含まれており、26月XNUMX日までに利用可能になります。お客様は、サポートチケットを開いて、エンジニアリングビルドを今すぐリクエストできます。
- ローカル UI/ブラウザベースのルーター構成: Linksys ローカルUI/ブラウザベースのインストールと構成を引き続き推進し、 Linksys モバイルアプリ
- 注意 低確率 Linksys 影響を受けるSKUのインストールと構成にローカルUI/ブラウザが使用された場合は、セキュリティ上の問題は発生しませんでした。 Linksys モバイルアプリ
- Linksys 現在、世界中で150以上のSKUを出荷しており、2つの小売SKUが影響を受けていますが、サーバー側の変更はすでに実装されているため、現在は安全に運用できると考えられており、30月XNUMX日までにクライアント側のファームウェアが更新されるとさらに安全になります。
- 影響を受けるSKUはすべて小売SKU(MX62xx、MBE7xxx)です。
- インターネットサービスプロバイダー(ISP)のSKUや100以上の他の小売SKUは影響を受けないことにご注意ください。