REKOMENDUJ | DO ULUBIONYCH | RSS | NEWSLETTER Nick: Hasło: ZAREJESTRUJ  
 
Autor: Kan2017-04-24 06:56 | PDA & Navi | f-secure | qnap | nas | raport
Kan
Wykop Sledzik Google drukuj Poleć 0

Poważne luki w zabezpieczeniach dysków NAS

W styczniu 2017 roku firma F-Secure przedstawiła wyniki badań poświęconych licznym lukom w zabezpieczeniach, które odkryto w dyskach NAS firmy QNAP. Od tego czasu zidentyfikowano nowe, znacznie poważniejsze problemy związane z podatnością w oprogramowaniu urządzeń sieciowych tego producenta.


Odkryte poprzednio luki narażały posiadaczy dysków NAS na atak w momencie przeprowadzania aktualizacji oprogramowania. Haker musiałby wtedy przesłać do urządzenia exploit podszywający się pod nową wersję firmware’u. Było to wystarczająco trudne, żeby zniechęcić cyberprzestępców do przeprowadzania ataków na dużą skalę – mówi Harry Sintonen, starszy konsultant w F-Secure. – Niestety, nowo odkryte luki umożliwiają zdalne przejęcie kontroli nad urządzeniem poprzez tak zwane „wstrzykiwanie poleceń”. Atakujący może wtedy przekazywać polecenia do wykonania przez urządzenie NAS – dodaje Sintonen.

Luki w oprogramowaniu umożliwiają uzyskanie dostępu do dowolnych danych, które są przechowywane w pamięci, blokowanie użytkowników (łącznie z właścicielem), wykorzystanie urządzenia do dalszych ataków i wykonywanie innych operacji.

Podatne dyski NAS dają napastnikom okazję do wykazania się znacznie większą kreatywnością. – Urządzenia pamięciowe tego typu mogą działać jak serwer sieciowy – mówi Janne Kauhanen, ekspert ds. cyberbezpieczeństwa z F-Secure. – Cyberprzestępca może zapisać w urządzeniu dowolne dane i uruchomić każdy rodzaj usługi, od sklepu internetowego sprzedającego podejrzane towary do ofensywnej platformy umożliwiającej dokonywanie dalszych ataków. Odpowiedzialność za atak może być wówczas przypisana do właściciela urządzenia. Haker może również umieścić na dysku NAS kompromitujące materiały i wykorzystać je do szantażowania użytkownika – dodaje Kauhanen.

Testy przeprowadzano na dysku NAS QNAP TVS-663. Luki w zabezpieczeniach dotyczą oprogramowania działającego również na routerach, kamerach i innych niedrogich urządzeniach, które łączą się z internetem – w tym przypadku chodzi o wersję QTS 4.2.3. Harry Sintonen znalazł niemal 90 000 urządzeń, które jego zdaniem mogą być podatne na atak. Ograniczył jednak wyszukiwanie do tych, które akurat były dostępne w sieci, więc liczba ta może być wyższa.

Mikael Albrecht, badacz pracujący w F-Secure i właściciel sprzętu firmy QNAP, uważa, że niezabezpieczone serwery NAS stanowią dużo większy problem, niż inne urządzenia łączące się z internetem.

Przywykłem do problemów z bezpieczeństwem gadżetów IoT, ale niezabezpieczony serwer NAS to znacznie poważniejsza sprawa. W urządzeniu tym znajduje się większość cyfrowych treści, które wyprodukowałem przez całe swoje życie. Na szczęście QNAP ma dobrą procedurę dystrybuowania aktualizacji i robi to dość często – mówi Mikael Albrecht.

Firma QNAP naprawiła już usterkę i wypuściła zaktualizowaną wersję narażonego oprogramowania. Według raportu Harry’ego Sintonena, producent rozwiązał problem dość szybko i zareagował znacznie lepiej, niż inni dostawcy urządzeń, którym zarzucono problemy z bezpieczeństwem ich produktów. W razie posiadania urządzenia NAS firmy QNAP zalecana jest aktualizacja do najnowszej wersji oprogramowania.

źródło: F-Secure

Kan


Oceń ten artykuł w skali od 1 do 5.
Tagi: | f-secure | qnap | nas | raport Wykop Sledzik Google drukuj Poleć 0
Komentarze: 0 | Napisz komentarz | Zobacz wszystkie komentarze na forum >>


Napisz komentarz
Nick
  


Pogrubienie    Kursywa    Podkreślenie    Adres email    Cytat    Link    Obrazek    Film Youtube - wklej pełny link   

Wpisz kod z obrazka. Zaloguj się, żeby dodawać komentarze bez ograniczeń.
Wysłać powiadomienie email przy nowych odpowiedziach?






Ankieta
Czy w Polsce mamy roaming w UE według zasady RLAH (jak w kraju)?

Tak
Nie
Inne
A o co chodzi


WynikiAnkiety

Głosów 763

Newsy
Artykuły
Video
Rankingi
Pliki / Download
Redakcja
Archiwum
RSS
Regulamin
Kontakt
Telefony Taryfy
Rozrywka Systemy Rynek Tablety Inne
// dodatkowy kod na dole strony (intext)