Poważna luka w oprogramowaniu NAS-ów QNAP. Narażonych na atak jest aż 1,4 mln urządzeń

Poważna luka w oprogramowaniu NAS-ów QNAP. Narażonych na atak jest aż 1,4 mln urządzeń

Firma F-Secure poinformowała nas o wykryciu trzech luk w oprogramowaniu dysków NAS produkcji QNAP. Cyberprzestępcy mogą łatwo wykorzystać je do przejęcia kontroli nad urządzeniem. Problem ten dotyczy ponad miliona dysków NAS dostępnych na rynku.

Dziury w oprogramowaniu wykryto podczas testowania dysku NAS QNAP TVS-663. Przeprowadzone badanie wykazało, że hakerzy mogliby wykorzystać luki w procesie aktualizacji firmware’u i w ten sposób przejąć kontrolę nad urządzeniem. To z kolei umożliwiłoby zainstalowanie złośliwego oprogramowania, korzystanie z danych, przejęcie haseł, a nawet zdalne wydawanie poleceń. Harry Sintonen, starszy konsultant ds. bezpieczeństwa z F-Secure za pomocą stworzonego przez siebie exploita udowodnił, że podatności mogą zostać wykorzystane przez atakujących.

Według niego urządzenie staje się narażone na atak w momencie przesłania niezaszyfrowanego żądania o przeprowadzenie aktualizacji oprogramowania. Brak szyfrowania pozwala zaburzyć ten proces i zmodyfikować odpowiedź na żądanie. Sintonen wykorzystał tę lukę, by przesłać do urządzenia exploit podszywający się pod nową wersję firmware’u. Jeżeli dojdzie do takiego ataku, fałszywe oprogramowanie automatycznie zainstaluje się na urządzeniu i pozwoli na przejęcie nad nim kontroli. Jak widać, sprawa jest naprawdę poważna. Dlatego warto zdawać sobie sprawę z istnienia tej dziury.

Które NAS-y są narażone na ataki?

Badanie wrażliwości na exploit ograniczono do urządzenia QNAP TVS-663, jednak modele pracujące pod kontrolą tego samego oprogramowania również mogą być narażone na podobne problemy. Oznacza to, że na rynku dostępnych jest 1,4 mln potencjalnie zagrożonych urządzeń. To naprawdę poważny problem.

Szkoda tylko, że QNAP przez naprawdę długi czas nie chciał nic z nim zrobić. F-Secure poinformował bowiem QNAP o lukach niemal rok temu, w lutym 2016 roku. Mimo to firma nie wprowadziła odpowiednich poprawek i tym samym nie zażegnała zagrożenia. Według sprostowania opublikowanego przez QNAP, odpowiednia łatka ma zostać opracowana dopiero w marcu 2017 roku. Niestety firma zdecydowała się na załatanie dziur dopiero po pierwszych publikacjach na temat tego problemu. Dobro marki okazało się w tym przypadku ważniejsze od dobra klientów i użytkowników.

Na szczęście, choć luka faktycznie istnieje, to nie jest łatwa do wykorzystania. Do przeprowadzenia takiego ataku niezbędne są nieprzeciętne umiejętności. W tym przypadku cyberprzestępca musiałby znaleźć się pomiędzy serwerem aktualizacji a użytkownikiem. Właśnie ten dodatkowy krok może zniechęcić wielu początkujących hakerów.

Mimo to każdy użytkownik urządzeń QNAP z oprogramowaniem QTS 4.2 lub nowszym powinien na wszelki wypadek wyłączyć automatyczne sprawdzanie dostępnych aktualizacji i szukać nowych aktualizacji ręcznie, w bezpiecznych źródłach. Warto wdrożyć te proste zabezpieczenia, jeżeli na dysku NAS wykorzystywane są poufne dane, które nie powinny ujrzeć światła dziennego.

Dodatkowo, kupując dysk sieciowy upewnić się, że nie wybieramy modelu działającego pod kontrolą oprogramowania, które jest dziurawe niczym ser szwajcarski. Ani takiego, którego producent nie dba o bezpieczeństwo danych swoich klientów i użytkowników.

Dołącz do dyskusji

  • Drooith

    Dziwię się że przez rok nie mogli zmienić requestu sprawdzającego aktualizację na HTTPSa. Trochę to słabe jak tak niby poważnego producenta NASów.

  • dattro

    Synology gora :)

  • http://www.klimbs.pl/ Tomasz Klim

    Kupiłem sobie QNAP-a w 2010 roku i po niedługim czasie zacząłem analizować jego soft – i powiem w ten sposób: to, czy poszczególne błędy są exploitowalne to jedno, ale cały design tego ich softu po prostu leży pod względem bezpieczeństwa:

    – większość usług działa na roocie

    – nieliczne usługi działają na jednym, wspólnym koncie (brak separacji uprawnień pomiędzy nimi, czyli nadal włamując się na jedną, mamy dostęp do danych z pozostałych)

    – wiele usług „dodatkowych” działa na zasadzie, że instalator raz ściąga najnowsze wersje softu (np. kolejną instancję Apache), rozpakowuje i uruchamia, ale potem już w żaden sposób nie aktualizuje

    – wszystkie możliwe hasła (poza hasłami userów systemowych) są trzymane plaintextem w plikach, najczęściej w /etc i bardzo często z liberalnymi uprawnieniami

    – większość usług jest tak skonfigurowanych, aby całość była jak najłatwiejsza w użyciu dla „zwykłego” użytkownika (w sumie nic dziwnego, o to chodzi w tym produkcie), ale w wielu miejscach idzie to o wiele zbyt daleko, kosztem bezpieczeństwa

    Aby nie było, bawiłem się też kilkoma kolejnymi odsłonami tego ich softu, ostatnio w okolicach późnego 2015 i z tego co widziałem, to „pod maską” kolejne wersje zmieniają stosunkowo niewiele – zmiany idą głównie w kierunku funkcjonalnym, natomiast odnośnie bezpieczeństwa, producent idzie po najmniejszej linii oporu, byle tylko nie dało się czegoś zdalnie exploitować…

  • http://www.klimbs.pl/ Tomasz Klim

    Z Synology mam mniejsze doświadczenie niż z QNAP-em, bo tylko z XPenology i tylko z jedną wersją, z okolic chyba 2013 albo 2014, ale z tego co widziałem, to też zbytnio nie dbają o bezpieczeństwo – wystarczy, że błędy nie są zdalnie exploitowalne. Czyli że np. dopóki nie damy komuś wjazdu ssh na urządzenie, to przez sam panel co najwyżej zdoła to urządzenie zawiesić, ale się nie włamie.

    Przypuszczam zresztą, że każdy z producentów NAS-ów klasy SOHO wychodzi z identycznego założenia.

  • MDW

    Pozwolę sobie uzupełnić informacje o człowieku, który udowodnił istnienie tej dziury. Harry „Piru” Sintonen to baaaardzo zasłużony programista ze świata klasycznego AmigaOS. Od kilkunastu lat jest czynnym członkiem zespołu tworzącego system operacyjny MorphOS (nieoficjalny AmigaOS nowej generacji działający na komputerach z procesorami PowerPC). To fachowiec naprawdę dużego formatu.
    http://www.morphos.de/team

  • fakt
  • http://backupacademy.pl Grzegorz Bielawski

    Już zapomniałeś jak użytkownikom Synology zaszyfrowano dane i już ich nie odzyskali ? Każdy ma jakieś luki, nie ma systemu, który by ich nie miał, ale w porównaniu Synology vs. QNAP to na razie Synology wtopiło :). I to dwa raz bo obecnie od roku nie potrafią naprawić błędu z iSCSI przez co ludzie tracą dane.

  • http://backupacademy.pl Grzegorz Bielawski

    Tak to prawda na razie 2:0 dla nich. Dlaczego? Na razie użytkownicy Synology stracili dane jak zaatakował ich wirus szyfrujące dane. A przez bug w sofcie, którego nie naprawili przez ponad rok ludzie tracą dane zapisane na iSCSI. Więcej na forum Synology:

    https://forum.synology.com/enu/viewtopic.php?f=147&t=116743&sid=dc7d2abb914c009983b6a49a8165891e&start=300

    Pokaż mi przypadek z użytkownikami QNAP, którzy na taką skalę tracą dane zapisane na serwerach NAS firmy QNAP.

MAŁO? CZYTAJ KOLEJNY WPIS...

MAŁO? CZYTAJ KOLEJNY WPIS...

Advertisement