Bassa probabilità Linksys Problema di sicurezza segnalato da Testaankoop
Ogni segnalazione di un potenziale problema di sicurezza viene presa sul serio e presa in considerazione da Linksys. In quanto azienda pioniera dei router domestici e operativa a livello globale da quasi 4 decenni, le nostre procedure e risposte di sicurezza sono sempre basate sui fatti e trasparenti. Questa comunicazione è una risposta pubblica a una segnalazione di problemi di sicurezza segnalati per la prima volta da Testaankoop, sebbene non sembri essere stata originata da loro né abbiano confermato o mostrato prove di aver riprodotto il problema. Ad oggi nessuno, a parte Rapid7, che Linksys incaricato di testare i nostri prodotti, è mai stato in grado di riprodurre il problema e solo in speciali circostanze di laboratorio, utilizzando strumenti specializzati e con autorizzazioni illimitate sia per la LAN che per la WAN.
Prima di leggere la risposta sottostante, è fondamentale comprendere che Linksys'architettura e operazioni sono uniche per il settore. NON raccogliamo o memorizziamo alcun dato di dispositivo o utente generato dai nostri router domestici o dal Linksys App mobile. Se si utilizza l' Linksys App mobile, alcuni elementi dati vengono utilizzati durante l'installazione e la configurazione, ma non vengono mai memorizzati o osservati da LinksysSe si utilizza l'interfaccia utente locale basata sul browser, nessuno dei dati utilizzati per l'installazione, la configurazione o il funzionamento in corso viene mai visualizzato, e tanto meno archiviato da Linksys; tutto rimane locale sul tuo dispositivo.
Cronologia della bassa probabilità Linksys Problema di sicurezza segnalato da Prova l'acquisto
Prima di leggere la risposta sottostante, è fondamentale comprendere che Linksys'architettura e operazioni sono uniche per il settore. NON raccogliamo o memorizziamo alcun dato di dispositivo o utente generato dai nostri router domestici o dal Linksys App mobile. Se si utilizza l' Linksys App mobile, alcuni elementi dati vengono utilizzati durante l'installazione e la configurazione, ma non vengono mai memorizzati o osservati da LinksysSe si utilizza l'interfaccia utente locale basata sul browser, nessuno dei dati utilizzati per l'installazione, la configurazione o il funzionamento in corso viene mai visualizzato, e tanto meno archiviato da Linksys; tutto rimane locale sul tuo dispositivo.
Cronologia della bassa probabilità Linksys Problema di sicurezza segnalato da Prova l'acquisto
- 19 settembre 2023: ricevuto Rapid7 rapporto, eseguito per conto di Linksys, per quanto riguarda la configurazione di sicurezza a bassa probabilità (priorità 3/gravità 3) su due (2) Linksys SKU al dettaglio
- 28 novembre 2023: Linksys Il marketing ha inoltrato un'e-mail da Which? segnalando questa stessa vulnerabilità (utilizzando la stessa identica formulazione di Rapid7) a Linksys Mercato
- 28 novembre 2023: Linksys Lo sviluppo ha risposto a Which? lo stesso giorno e fornito un modulo di sicurezza da inviare nuovamente a Linksys Mercato
- 30 novembre 2023: Which? rispose Linksys Richiesta del 28 novembre, ma non ha fornito ulteriori dettagli e non ha potuto/non ha confermato di poter riprodurre il problema
- 4 dicembre 2023: Which? inviato un rapporto pubblico tramite Bug Crowd, aggiornando il problema a Probabilità moderata, ma non ha fornito dettagli aggiuntivi/attuabili
- 5 dicembre 2023: BugCrowd hanno confermato di non essere riusciti a riprodurre il problema e hanno chiesto a Which maggiori informazioni. Which non ha risposto alla richiesta di BugCrowd
- 5 dicembre 2023: Un ricercatore di mercato dal Belgio ha inviato un'e-mail Linksys Marketing, facendo riferimento al rapporto BugCrowd che ha inviato, ma non ha fornito ulteriori dettagli e non ha confermato di poterlo fare
- Esposizione limitata: Due (2) SKU interessati (Linksys Velop Pro 6E e Linksys Velop Pro 7) - per sfruttare il problema di configurazione della sicurezza, che è limitato al lato WAN/ISP, il "cattivo attore" richiederebbe strumenti altamente specializzati insieme all'accesso fisico in tempo reale al router domestico e piena visibilità e autorizzazione per attraversare la rete ISP
- Rischio reale a bassa probabilità: Un potenziale sfruttamento richiederebbe che si allineino molteplici e altamente improbabili condizioni:
- Accesso fisico e cablato al router domestico (richiede che l'hacker sia in casa con strumenti specializzati)
- Accesso all'infrastruttura ISP e crittografia (richiede l'autorizzazione dell'ISP o la rete da hackerare)
- Uso del Linksys App mobile (la maggior parte delle Linksys Gli utenti utilizzano l'interfaccia utente/browser locale per configurare gli SKU interessati, non l'app mobile)
- Scoperta: Linksys l'appaltatore Rapid7 ha scoperto e segnalato il problema che è stato classificato come Priorità 3/Gravità 3
- I problemi P3/S3 vengono risolti di routine entro 6-9 mesi dalla segnalazione
- Linksys Modifica lato server (indipendente dal firmware) Linksys ha già avviato un roll-out controllato di una modifica alla configurazione lato server che impedisce il problema di configurazione di sicurezza segnalato. Non sono previsti tempi di inattività per il roll-out
- Linksys Cambiamento lato client: Il firmware lato client per i due (2) SKU Retail interessati include una protezione aggiuntiva alla modifica lato server sopra indicata e sarà disponibile entro il 26 luglio. I clienti possono aprire un ticket di supporto per richiedere una build di progettazione oggi stesso
- Configurazione del router basata su interfaccia utente locale/browser: Linksys continua a promuovere l'installazione e la configurazione basate su interfaccia utente locale/browser invece di utilizzare Linksys mobile App
- Note: la bassa probabilità Linksys Il problema di sicurezza non si è mai verificato quando l'interfaccia utente/browser locale è stato utilizzato per installare e configurare gli SKU interessati anziché Linksys mobile App
- Linksys sta attualmente spedendo oltre 150 SKU in tutto il mondo, due (2) SKU al dettaglio sono interessati, ma sono attualmente considerati sicuri da utilizzare perché la modifica lato server è già stata implementata e sarà doppiamente sicura una volta che il firmware lato client sarà aggiornato entro il 30 luglio
- Gli SKU interessati sono tutti gli SKU al dettaglio: MX62xx, MBE7xxx
- Si noti che non sono interessati gli SKU dei provider di servizi Internet (ISP) o gli altri 100+ SKU al dettaglio
Contatto per i media
Per domande da parte dei media, richieste di interviste o ulteriori informazioni, non esitate a contattare il nostro team stampa dedicato.