Faible probabilité Linksys Problème de sécurité signalé par Testaankoop
Tout signalement d'un problème de sécurité potentiel est pris au sérieux et traité par Linksys. En tant qu'entreprise pionnière dans le domaine des routeurs domestiques et opérant à l'échelle mondiale depuis près de 4 décennies, nos procédures et réponses en matière de sécurité sont toujours factuelles et transparentes. Cette communication est une réponse publique à un rapport sur un problème de sécurité signalé pour la première fois par Testaankoop, bien qu'il ne semble pas provenir d'eux et qu'ils n'aient pas confirmé ou montré la preuve qu'ils ont reproduit le problème. À ce jour, personne d'autre que Rapid7, qui Linksys chargé de tester nos produits, n'a jamais été en mesure de reproduire le problème et uniquement dans des circonstances de laboratoire spéciales, en utilisant des outils spécialisés et avec des autorisations illimitées pour le LAN et le WAN.
Avant de lire la réponse ci-dessous, il est essentiel de comprendre que Linksys« L'architecture et les opérations sont uniques dans l'industrie. Nous NE collectons ni ne stockons aucune donnée d'appareil ou d'utilisateur générée par nos routeurs domestiques ou par Linksys Application mobile. Si vous utilisez le Linksys Application mobile, certains éléments de données sont utilisés lors de l'installation et de la configuration, mais ne sont jamais stockés ou observés par Linksys. Si vous utilisez l'interface utilisateur locale basée sur un navigateur, aucune des données utilisées pour l'installation, la configuration ou le fonctionnement en cours n'est jamais vue, et encore moins stockée par Linksys; tout reste local sur votre appareil.
Chronologie de la faible probabilité Linksys Problème de sécurité signalé par achat test
Avant de lire la réponse ci-dessous, il est essentiel de comprendre que Linksys« L'architecture et les opérations sont uniques dans l'industrie. Nous NE collectons ni ne stockons aucune donnée d'appareil ou d'utilisateur générée par nos routeurs domestiques ou par Linksys Application mobile. Si vous utilisez le Linksys Application mobile, certains éléments de données sont utilisés lors de l'installation et de la configuration, mais ne sont jamais stockés ou observés par Linksys. Si vous utilisez l'interface utilisateur locale basée sur un navigateur, aucune des données utilisées pour l'installation, la configuration ou le fonctionnement en cours n'est jamais vue, et encore moins stockée par Linksys; tout reste local sur votre appareil.
Chronologie de la faible probabilité Linksys Problème de sécurité signalé par achat test
- 19 septembre 2023: Reçu Rapid7 rapport, exécuté au nom de Linksys, concernant un problème de configuration de sécurité à faible probabilité (priorité 3/gravité 3) sur deux (2) Linksys Références de vente au détail
- Novembre 28th, 2023: Linksys Le service marketing a transmis un e-mail de Which? signalant cette même vulnérabilité (en utilisant exactement le même libellé que Rapid7) à Linksys Développement
- Novembre 28th, 2023: Linksys Le développement a répondu à Which? le même jour et a fourni un formulaire de sécurité à soumettre à Linksys Développement
- Novembre 30th, 2023: Which? répondu Linksys Demande du 28 novembre, mais n'a fourni aucun détail supplémentaire et n'a pas pu/n'a pas confirmé qu'il pouvait reproduire le problème
- 4 décembre 2023: Which? a soumis un rapport public via Bug Crowd, élevant le problème à une probabilité modérée, mais n'a fourni aucun détail supplémentaire/exploitable
- 5 décembre 2023: BugCrowd ont confirmé qu'ils n'étaient pas en mesure de reproduire le problème et ont demandé à Which plus d'informations. Which n'a pas répondu à la demande de BugCrowd
- 5 décembre 2023: Un chercheur en marketing de Belgique a envoyé un e-mail Linksys Marketing, faisant référence au rapport BugCrowd qu'il a soumis, mais n'a fourni aucun détail supplémentaire et n'a pas confirmé qu'il pouvait
- Exposition limitée : Deux (2) SKU concernés (Linksys Velop Pro 6E et Linksys Velop Pro 7) - pour exploiter le problème de configuration de sécurité, qui est limité au côté WAN/FAI, le « mauvais acteur » aurait besoin d'outils hautement spécialisés ainsi que d'un accès physique en temps réel au routeur domestique et d'une visibilité et d'une autorisation complètes pour traverser le réseau FAI
- Risque réel à faible probabilité : Une exploitation potentielle nécessiterait que des conditions multiples et hautement improbables soient réunies :
- Accès physique et filaire au routeur domestique (nécessite que le pirate soit présent à la maison avec des outils spécialisés)
- Accès à l'infrastructure du FAI et cryptage (nécessite l'autorisation du FAI ou le piratage du réseau)
- Utilisation du Linksys Application mobile (majorité des Linksys Les utilisateurs utilisent l'interface utilisateur/le navigateur local pour configurer les références SKU concernées, et non l'application mobile)
- Découverte: Linksys L'entrepreneur Rapid7 a découvert et signalé le problème qui a été classé comme Priorité 3/Gravité 3
- Les problèmes P3/S3 sont généralement résolus dans un délai de 6 à 9 mois après avoir été signalés
- Linksys Modification côté serveur (indépendant du firmware) Linksys a déjà commencé à déployer de manière contrôlée une modification de configuration côté serveur qui empêche le problème de configuration de sécurité signalé. Aucune interruption de service n'est prévue pour le déploiement
- Linksys Modification côté client : Le micrologiciel côté client pour les deux (2) références de vente au détail concernées inclut une protection supplémentaire contre la modification côté serveur mentionnée ci-dessus et sera disponible d'ici le 26 juillet. Les clients peuvent ouvrir un ticket d'assistance pour demander une version technique dès aujourd'hui
- Configuration du routeur basée sur l'interface utilisateur locale/le navigateur : Linksys continue de promouvoir l'installation et la configuration basées sur l'interface utilisateur locale/le navigateur au lieu d'utiliser le Linksys Application mobile
- Notes la faible probabilité Linksys Le problème de sécurité n'a jamais été présent lorsque l'interface utilisateur/le navigateur local a été utilisé pour installer et configurer les références SKU concernées au lieu de Linksys Application mobile
- Linksys expédie actuellement plus de 150 références dans le monde, deux (2) références de vente au détail sont concernées, mais leur exploitation est actuellement considérée comme sûre car le changement côté serveur a déjà été implémenté et sera doublement sûr une fois que le micrologiciel côté client sera mis à jour d'ici le 30 juillet
- Les références concernées sont toutes les références de vente au détail - MX62xx, MBE7xxx
- Veuillez noter qu'aucun SKU de fournisseur d'accès Internet (FAI) ni les plus de 100 autres SKU de vente au détail ne sont concernés
Contact pour les médias
Pour les demandes des médias, les demandes d’interview ou d’informations supplémentaires, n’hésitez pas à contacter notre équipe de presse dédiée.