NOWE POWAŻNE LUKI W ZABEZPIECZENIACH URZĄDZEŃ NAS

Bezpieczeństwo i Prywatność, Inteligenty Świat

Jeśli masz urządzenie NAS firmy QNAP, lepiej zaktualizuj jego wbudowane oprogramowanie.
Wcześniej w tym roku Harry Sintonen, starszy konsultant ds. bezpieczeństwa w F-Secure, przedstawił wyniki badań poświęconych licznym lukom w zabezpieczeniach, które odkrył w urządzeniu NAS (Network Attached Storage) firmy QNAP. Niestety, od tego czasu Harry odkrył więcej problemów, które są znacznie poważniejsze.

„Luki, które znalazłem poprzednio, były przydatne tylko dla napastnika, który mógł zająć pozycję między serwerem QNAP a swoim celem. Było to wystarczająco trudne, żeby zniechęcić większość napastników do używania tych luk w atakach na dużą skalę – powiedział Harry. – Z tym, co odkryłem ostatnio, sprawa wygląda inaczej”.

Raport Harry’ego przedstawia techniczne szczegóły nowo odkrytych luk w zabezpieczeniach. Zasadniczo umożliwiają one napastnikom zdalne przejęcie kontroli nad urządzeniem poprzez tak zwane „wstrzykiwanie poleceń”. Działa to dokładnie tak, jak brzmi: napastnik zdalnie przekazuje polecenia do wykonania przez urządzenie NAS.

Nie tylko zapewnia to napastnikowi dostęp do dowolnych danych, które są przechowywane w urządzeniu, ale również umożliwia usuwanie informacji, blokowanie innych użytkowników (łącznie z właścicielem urządzenia), wykorzystanie urządzenia do dalszych ataków i wykonywanie praktycznie dowolnych innych operacji.

Jak ujmuje to Janne Kauhanen, ekspert F-Secure ds. cyberbezpieczeństwa, trudno o poważniejszą lukę w zabezpieczeniach. „Luki tego typu są łatwymi, atrakcyjnymi celami dla napastników. Żeby je wykorzystać, nie potrzeba żadnego hakerskiego kung-fu w rodzaju specjalnych przywilejów dostępu. Napastnicy mogą użyć ich do całkowitego obejścia zabezpieczeń urządzenia i do przejęcia wszystkich zawartych w nim danych”.

Co gorsza, podatne dyski NAS dają napastnikom okazję do wykazania się znacznie większą kreatywnością. „Urządzenia pamięciowe tego typu mogą działać jak serwer sieciowy – wyjaśnia Janne. – Napastnik może łatwo zapisać w urządzeniu dowolne dane i uruchomić w nim każdy rodzaj usługi, od sklepu internetowego sprzedającego podejrzane towary do ofensywnej platformy umożliwiającej dokonywanie dalszych ataków w całym internecie, a potem to właściciel będzie musiał się tłumaczyć, dlaczego ataki wychodzą z jego domu. Haker może też umieścić w urządzeniu NAS jakieś kompromitujące materiały i wykorzystać je do szantażowania użytkownika; Rosjanie nazywają to »kompromatem«”.

„Wyłudzenia online to intratny biznes, a w takich scenariuszach nie ma znaczenia, czy rzeczywiście zrobiłeś coś złego, czy nie. Jedyne, co stoi między tobą a zmotywowanym szantażystą, jest bezpieczeństwo urządzeń, z których korzystasz”, dodaje Janne.

Kto zatem ma powody do zmartwienia? Cóż, żeby sprawdzić rezultaty swoich badań, Harry użył urządzenia QNAP TVS-663. Ale prawdziwy problem leży we wbudowanym oprogramowaniu i dotyczy wielu urządzeń internetowych (routerów, kamer i innych niedrogich urządzeń, które łączą się z internetem).

Te same luki w zabezpieczeniach prawdopodobnie znajdują się w innych urządzeniach działających pod kontrolą tego samego wbudowanego oprogramowania (w tym przypadku QTS 4.2.3). Harry znalazł niemal 90 000 urządzeń, które jego zdaniem mogą być podatne na atak. Ograniczył jednak wyszukiwanie do urządzeń, które akurat były dostępne w sieci, więc liczba ta może być wyższa.

Mikael Albrecht, badacz pracujący w F-Secure i właściciel urządzenia QNAP, uważa, że niezabezpieczone serwery NAS są znacznie większym problemem, niż inne urządzenia internetu rzeczy (IoT). „Jako właściciel urządzenia QNAP oczywiście byłem zszokowany, czytając raport Harry’ego. Przywykłem do problemów z bezpieczeństwem gadżetów IoT, ale niezabezpieczony serwer NAS to znacznie poważniejsza sprawa. W urządzeniu tym znajduje się większość cyfrowych treści, które wyprodukowałem przez całe swoje życie! Na szczęście QNAP ma dobrą procedurę dystrybuowania aktualizacji i robi to dość często.

Są też dobre wiadomości: firma QNAP naprawiła już usterkę i wypuściła zaktualizowaną wersję narażonego oprogramowania. Według raportu Harry’ego, rozwiązała problem dość szybko i zareagowała znacznie lepiej, niż inni producenci urządzeń, którym zarzucono problemy z bezpieczeństwem ich produktów.

Jeśli więc masz urządzenie NAS firmy QNAP, lepiej zaktualizuj je teraz (albo upewnij się, że działa pod kontrolą oprogramowania QTS 4.2.4). W rzeczywistości powinieneś zwracać baczniejszą uwagę na wszystkie swoje urządzenia internetowe i regularnie je aktualizować. Zalewające rynek urządzenia IoT, często pozbawione zabezpieczeń, które pomagają zachować prywatność i bezpieczeństwo informacji, dają przestępcom znacznie więcej możliwości atakowania użytkowników indywidualnych i firm. Warto więc pamiętać o ich aktualizowaniu i zabezpieczaniu.
[Zdjęcie: josip2 | Flickr ]

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: