Data: Czwartek, 9 lutego 2017, 13:03

Ponad milion dysków NAS znanego producenta zagrożonych atakiem

Firma F-Secure, dostawca rozwiązań z zakresu cyberbezpieczeństwa, informuje o wykryciu trzech podatności w oprogramowaniu dysków NAS (Network Attached Storage) produkowanych przez QNAP Systems Inc. Hakerzy mogą wykorzystać luki w celu przejęcia zdalnej kontroli nad urządzeniami. Odkrycie dotyczy ponad miliona dysków, które są obecnie w użytku.

Podatność w oprogramowaniu wykryto podczas testowania dysku NAS QNAP TVS-663. Badanie wykazało, że hakerzy mogliby wykorzystać luki w procesie aktualizacji firmware’u w celu uzyskania uprawnień administracyjnych. Zdobycie uprawnień umożliwiłoby zainstalowanie złośliwego oprogramowania, korzystanie z danych, przejęcie haseł, a nawet zdalne wydawanie poleceń.

Harry Sintonen, starszy konsultant ds. bezpieczeństwa z F-Secure, stworzył exploit potwierdzający, że podatności mogą zostać wykorzystane przez atakujących.
Według Sintonena urządzenie staje się narażone na atak w momencie przesłania niezaszyfrowanego żądania o przeprowadzenie aktualizacji oprogramowania. Brak szyfrowania pozwala zaburzyć proces i zmodyfikować odpowiedź na to żądanie. Sintonen wykorzystał tę lukę, by przesłać do urządzenia exploit, który podszywałby się pod nową wersję firmware’u. Fałszywe oprogramowanie automatycznie instalowane jest na urządzeniu – w praktyce nigdy nie dochodzi do aktualizacji, a exploit pozwala włamać się do systemu.

Sintonen ograniczył badanie jedynie do urządzenia TVS-663 firmy QNAP, jednak podejrzewa, że w modelach korzystających z tego samego oprogramowania występują takie same problemy.

Użytkownicy mogą podjąć pewne działania doraźne, dopóki nie pojawi się stałe rozwiązanie problemu. Każdy, kto korzysta z urządzenia TVS-663 firmy QNAP lub innych urządzeń z tym samym oprogramowaniem (QTS w wersji 4.2 lub późniejszej), powinien wyłączyć automatyczne sprawdzanie dostępnych aktualizacji oprogramowania i poszukiwać go ręcznie w bezpiecznych źródłach. Kauhanen zaleca, by każdy, kto używa urządzenia z tą luką w pracy lub w zadaniach związanych z wykorzystaniem poufnych informacji, wdrożył te tymczasowe środki zabezpieczające.