Poważna luka w oprogramowaniu NAS-ów QNAP. Narażonych na atak jest aż 1,4 mln urządzeń
Firma F-Secure poinformowała nas o wykryciu trzech luk w oprogramowaniu dysków NAS produkcji QNAP. Cyberprzestępcy mogą łatwo wykorzystać je do przejęcia kontroli nad urządzeniem. Problem ten dotyczy ponad miliona dysków NAS dostępnych na rynku.
Dziury w oprogramowaniu wykryto podczas testowania dysku NAS QNAP TVS-663. Przeprowadzone badanie wykazało, że hakerzy mogliby wykorzystać luki w procesie aktualizacji firmware’u i w ten sposób przejąć kontrolę nad urządzeniem. To z kolei umożliwiłoby zainstalowanie złośliwego oprogramowania, korzystanie z danych, przejęcie haseł, a nawet zdalne wydawanie poleceń. Harry Sintonen, starszy konsultant ds. bezpieczeństwa z F-Secure za pomocą stworzonego przez siebie exploita udowodnił, że podatności mogą zostać wykorzystane przez atakujących.
Według niego urządzenie staje się narażone na atak w momencie przesłania niezaszyfrowanego żądania o przeprowadzenie aktualizacji oprogramowania. Brak szyfrowania pozwala zaburzyć ten proces i zmodyfikować odpowiedź na żądanie. Sintonen wykorzystał tę lukę, by przesłać do urządzenia exploit podszywający się pod nową wersję firmware’u. Jeżeli dojdzie do takiego ataku, fałszywe oprogramowanie automatycznie zainstaluje się na urządzeniu i pozwoli na przejęcie nad nim kontroli. Jak widać, sprawa jest naprawdę poważna. Dlatego warto zdawać sobie sprawę z istnienia tej dziury.
Które NAS-y są narażone na ataki?
Badanie wrażliwości na exploit ograniczono do urządzenia QNAP TVS-663, jednak modele pracujące pod kontrolą tego samego oprogramowania również mogą być narażone na podobne problemy. Oznacza to, że na rynku dostępnych jest 1,4 mln potencjalnie zagrożonych urządzeń. To naprawdę poważny problem.
Szkoda tylko, że QNAP przez naprawdę długi czas nie chciał nic z nim zrobić. F-Secure poinformował bowiem QNAP o lukach niemal rok temu, w lutym 2016 roku. Mimo to firma nie wprowadziła odpowiednich poprawek i tym samym nie zażegnała zagrożenia. Według sprostowania opublikowanego przez QNAP, odpowiednia łatka ma zostać opracowana dopiero w marcu 2017 roku. Niestety firma zdecydowała się na załatanie dziur dopiero po pierwszych publikacjach na temat tego problemu. Dobro marki okazało się w tym przypadku ważniejsze od dobra klientów i użytkowników.
Na szczęście, choć luka faktycznie istnieje, to nie jest łatwa do wykorzystania. Do przeprowadzenia takiego ataku niezbędne są nieprzeciętne umiejętności. W tym przypadku cyberprzestępca musiałby znaleźć się pomiędzy serwerem aktualizacji a użytkownikiem. Właśnie ten dodatkowy krok może zniechęcić wielu początkujących hakerów.
Mimo to każdy użytkownik urządzeń QNAP z oprogramowaniem QTS 4.2 lub nowszym powinien na wszelki wypadek wyłączyć automatyczne sprawdzanie dostępnych aktualizacji i szukać nowych aktualizacji ręcznie, w bezpiecznych źródłach. Warto wdrożyć te proste zabezpieczenia, jeżeli na dysku NAS wykorzystywane są poufne dane, które nie powinny ujrzeć światła dziennego.
Dodatkowo, kupując dysk sieciowy upewnić się, że nie wybieramy modelu działającego pod kontrolą oprogramowania, które jest dziurawe niczym ser szwajcarski. Ani takiego, którego producent nie dba o bezpieczeństwo danych swoich klientów i użytkowników.
