Säkerhetsluckor i NAS-enhet utsätter användare för stora risker

Säkerhetsforskare på F-Secure har hittat flera sårbarheter i en NAS-enhet som vid ett angrepp kan utnyttjas för att stjäla data och lösenord, samt dessutom köra kommandon på distans. Sårbarheterna kan gälla flera modeller.

Helsingfors, 17 januari 2017: Säkerhetsforskare på F-Secure har upptäckt tre sårbarheter i en NAS (Network Attached Storage) från QNAP Systems Inc. Cybersäkerhetsföretaget varnar nu att sårbarheterna vid ett angrepp kan utnyttjas för att ta kontroll över påverkade enheter. Sårbarheterna har bekräftats i en modell, men kan gälla miljontals enheter som används idag. Det är ytterligare ett i raden av sårbarheter som påträffats i osäkra produkter som utsätter användarna för risker och gör dem sårbara för online-hot.

Forskarna upptäckte sårbarheterna när de undersökte NAS-enheten TVS-663 från QNAP. När de analyserade upptäckten närmare kunde de konstatera att svagheter i processen för att uppdatera systemmjukvaran (enhetens firmware) gjorde det möjligt för en angripare att få administratörsrättigheter på enheten. Det innebär att de kan göra sådant som att installera skadlig kod, får full tillgång till innehållet på enheten, stjäla lösenord och till och med köra kommandon på distans.

Harry Sintonen, Senior Security Consultant på F-Secure, har tagit fram en egen lösning (proof-of-concept exploit) för att bekräfta att hackare skulle kunna utnyttja de upptäckta sårbarheterna: ”Många av den här typen av sårbarheter är inte särskilt allvarliga var och en för sig. Men angripare som kan utnyttja dem alla på en gång kan skapa en enorm säkerhetslucka, säger Sintonen. ”Framgångsrika hackare inser att även små misstag i säkerheten kan utgöra stora möjligheter – om man bara vet hur man utnyttjar dem.”

Sintonens proof-of-concept drar nytta av det faktum att enheten skickar okrypterade förfrågningar för nya firmware-uppdateringar, vilket gör det möjligt för potentiella hackare att fånga upp dem och skicka modifierade svar på förfrågan. Sintonen kunde därmed skicka in sin mjukvara förklädd till en legitim uppdatering. Den falska firmware-mjukvaran lurar sedan enheten till att automatiskt installera det. Och även om den falska uppdateringen aldrig installeras i verkligheten så utnyttjar den en säkerhetslucka som ger fullständiga administratörsrättigheter åt angriparen.

Enligt Sintonen är det därmed en smal sak att stjäla eller modifiera data: ”Allt du egentligen behöver göra är att säga åt enheten att du har en ny version av firmware och eftersom hela uppdateringsprocessen sker okrypterat är det inte särskilt svårt att utföra. Och det är det svåra, när det väl är gjort är allt som hackare kan tänkas vilja göra med enheten ungefär som att stjäla godis från barn.”

Även om Sintonen inte tittat närmare på någon annan enhet än QNAP TVS-663 så misstänker han att modeller som har samma firmware lider av samma säkerhetsproblem. Baserat på detta uppskattar Sintonen att det finns fler än 1,4 miljoner sårbara enheter – även om han utan omsvep erkänner att siffran kan vara mycket, mycket högre.

”Vi hittade 1,4 miljoner enheter genom att undersöka vilka versioner av firmware som används. Men eftersom många aldrig uppdaterar firmware på sina enheter, kan siffran vara mycket högre. Det kan handla om miljontals ytterligare enheter”, säger han.

Råd till användare som har en av de omtalade enheterna

F-Secure underrättade QNAP om de här sårbarheterna i Februari 2016. Men trots att det är snart ett år sedan har F-Secures forskningsteam inte sett någon lösning eller uppdatering som åtgärdar dem. Utan en uppdatering från företaget så finns det ingen permanent fix.

Men enligt F-Secures cybersäkerhetsexpert Janne Kauhanen så finns det något positivt i allt detta. ”Den här typen av problem är oerhört vanliga när det gäller enheter uppkopplade mot internet, så alla av oss köper produkter som lider av den här typen av säkerhetsluckor. Men i det här fallet behöver hackaren först hitta en plats på nätverket mellan uppdateringsservern och användaren och det här extra steget är fullt tillräckligt för att avskräcka många opportunister, hackare som inte har så mycket kunskap.”, säger han. ”Men vi har sett fall där motiverade hackare använt den här typen av säkerhetsluckor i förberedelserna för ytterligare aktiviteter, eller för att dölja sin närvaro på ett nätverk – så de kan fortfarande göra stor skada.”

Det finns sätt som användare kan skydda sig själva i väntan på en permanent lösning från tillverkaren. Alla som har en QNAP TVS-663 eller andra enheter med samma firmware (QTS 4.2 eller senare) bör stänga av automatiska firmware-uppdateringar och se till att göra sökningar efter uppdateringar manuellt till en verifierad och säker källa till dess att problemet är löst.

Tillverkaren, likväl som tillämpliga myndigheter, har fått information om denna sårbarhet i god tid innan den här informationen går ut offentligt.

Mer information:
The IoT needs Vulnerability Research to Survive

Presskontakt:
Adam Erlandsson
Cohn & Wolfe för F-Secure
adam.erlandsson@cohnwolfe.com
+46 735 18 24 80