低機率 Linksys Testaankoop 報告的安全性問題
任何有關潛在安全問題的報告都會被認真對待並採取行動 Linksys。作為家庭路由器的先驅並在全球運營近 4 年的公司,我們的安全程序和回應始終是事實和透明的。此通信是對 Testaankoop 首次報告的安全問題報告的公開回應,儘管該問題似乎並非由他們發起,也沒有證實或證明他們重現了這個問題。迄今為止,除了 Rapid7 之外,沒有人 Linksys 簽約測試我們的產品,曾經能夠重現問題,並且只能在特殊的實驗室環境中,使用專門的工具,並且對 LAN 和 WAN 具有不受限制的權限。
在閱讀以下回覆之前,了解這一點至關重要 Linksys” 架構和營運對於行業來說是獨一無二的。我們不會收集或儲存由我們的家庭路由器或 Linksys 行動應用程式。如果使用 Linksys 行動應用程序,在安裝和配置過程中使用選擇的資料元素,但絕不儲存或觀察 Linksys。如果使用基於瀏覽器的本機使用者介面,則不會看到用於安裝、配置或正在進行的操作的任何數據,更不用說儲存了 Linksys;一切都保留在您的裝置本地。
低機率事件的時間表 Linksys 報告的安全問題 泰斯坦庫普
在閱讀以下回覆之前,了解這一點至關重要 Linksys” 架構和營運對於行業來說是獨一無二的。我們不會收集或儲存由我們的家庭路由器或 Linksys 行動應用程式。如果使用 Linksys 行動應用程序,在安裝和配置過程中使用選擇的資料元素,但絕不儲存或觀察 Linksys。如果使用基於瀏覽器的本機使用者介面,則不會看到用於安裝、配置或正在進行的操作的任何數據,更不用說儲存了 Linksys;一切都保留在您的裝置本地。
低機率事件的時間表 Linksys 報告的安全問題 泰斯坦庫普
- 19年2023月XNUMX日: 收到 Rapid7 報告中, 代表執行 Linksys,關於兩 (3) 個低機率(優先級 3/嚴重性 2)安全配置問題 Linksys 零售 SKU
- 十一月28th,2023: Linksys 行銷部轉發了一封來自 Which? 報告此相同的漏洞(使用與 Rapid7 相同的措詞) Linksys 技術開發
- 十一月28th,2023: Linksys 發展回應 Which? 同一天,並提供了一份安全表格,供其提交回 Linksys 技術開發
- 十一月30th,2023: Which? 回答 Linksys 28 月 XNUMX 日請求,但未提供更多詳細信息,並且可以/未確認他可以重現該問題
- 4年2023月XNUMX日: Which? 透過 Bug Crowd 提交了公開報告,將問題升級為中等機率,但未提供其他/可操作的詳細信息
- 5年2023月XNUMX日: 蟲群 確認他們無法重現問題,並向 Which 詢問更多資訊。沒有回應 BugCrowd 請求
- 5年2023月XNUMX日: 來自比利時的市場研究員透過電子郵件發送 Linksys 行銷部門,參考了 Which 提交的 BugCrowd 報告,但沒有提供更多詳細信息,也沒有確認他們可以
- 有限的曝光: 兩 (2) 個受影響的 SKU(Linksys Velop Pro 6E 和 Linksys Velop Pro 7) - 要利用僅限於 WAN/ISP 端的安全配置問題,「壞人」將需要高度專業化的工具以及對家庭路由器的即時實體存取以及完全可見性和權限穿越ISP網絡
- 現實世界的低機率風險: 潛在的利用需要多種且極不可能的條件來協調:
- 對家庭路由器的實體和有線存取(要求駭客使用專用工具在家中)
- 存取 ISP 基礎設施和加密(需要 ISP 許可或網路被駭客攻擊)
- 使用 Linksys 行動應用程式(大多數 Linksys 使用者使用本機 UI/瀏覽器配置受影響的 SKU,而不是行動應用程式)
- 發現: Linksys 承包商 Rapid7 發現並報告了被分類為優先 3/嚴重性 3 的問題
- P3/S3 問題通常會在報告後 6 至 9 個月內修復
- Linksys 伺服器端更改(與韌體無關) Linksys 已開始受控地推出伺服器端配置更改,以防止報告的安全性配置問題。預計推出後不會出現停機時間
- Linksys 客戶端變更: 兩 (2) 個受影響的零售 SKU 的客戶端韌體包括對上述伺服器端變更的額外保護,並將於 26 月 XNUMX 日之前提供。客戶今天可以開立支援票來請求工程構建
- 基於本機 UI/瀏覽器的路由器配置: Linksys 繼續推廣基於本機 UI/瀏覽器的安裝和配置,而不是使用 Linksys 行動應用程式
- 備註 低機率 Linksys 當使用本機 UI/瀏覽器(而不是 Linksys 行動應用程式
- Linksys 目前在全球範圍內運送150 多個SKU,有兩(2) 個零售SKU 受到影響,但目前被認為可以安全操作,因為伺服器端更改已經實施,一旦客戶端韌體在30 月XNUMX 日之前更新,將加倍安全
- 受影響的 SKU 均為零售 SKU - MX62xx、MBE7xxx
- 請注意,網路服務供應商 (ISP) SKUS 或 100 多個其他零售 SKU 均不會受到影響
