آسیبپذیری دستگاههای NAS
ارسال شده در
18 مرداد 1393 | دستهبندی:
اخبار ، عمومی
یک بررسی امنیتی در خصوص دستگاههای NAS از چندین تولیدکننده نشان می دهد که این دستگاهها نسبت به مسیریاب ها آسیب پذیرتر میباشند.
یک تحلیلگر امنیتی پس از بررسی دستگاههای NAS از 10 شرکت تولیدکننده، به این نکته رسید که آسیب پذیریهایی وجود دارد که می تواند منجر به کنترل کامل دستگاه توسط مهاجمان شود. این درحالیست که 50 درصد از آسیب پذیری های کشف شده میتوانند بدون تایید هویت مورد سوء استفاده قرار بگیرند.
دستگاه هایی که مورد ارزیابی این تحلیلگر قرار گرفته اند عبارتند از: Asustor’s AS-602T، TRENDnet’s TN-200 و TN-200T1، QNAP’s TS-870، Seagate’s BlackArmor 1BW5A3-570، Netgear’s ReadyNAS104، D-LINK’s DNS-345، Lenovo’s IX4-300D، Buffalo’s TeraStation 5600، Western Digital’s MyCloud EX4 و ZyXEL’s NSA325 v2.
Holcomb سال گذشته بررسی مشابهی بر روی مسیریاب های معروف SOHO انجام داد و 50 آسیب پذیری را در این دستگاه ها شناسایی کرد. او انتظار دارد آسیب پذیری های شناسایی شده در سیستم های NAS بیشتر از مسیریابها باشد. انواع آسیب پذیریهایی که در این سیستمها کشف شدهاست شامل تزریق دستورات، جعل درخواستهای بین سایتی، سرریز بافر، دور زدن تایید هویت، افشای اطلاعات، راه نفوذ مخفی در حساب های کاربری، مدیر ضعیف نشستها و پیمایش دایرکتوری می باشد. مهاجمان با ترکیب تعدادی از این آسیب پذیریها می توانند دسترسی root دستگاه را بدست آورده و با داشتن بالاترین حق دسترسی دستورات را اجرا نمایند.
Holcomb بیان داشته که برخی از این آسیب پذیری ها به اطلاع شرکت های سازنده رسیده است و به زودی اصلاح می شوند.
تفاوت آشکاری مابین سوء استفاده از مسیریاب و سوء استفاده از دستگاه های NAS وجود دارد. اگر مهاجمی کنترل یک مسیریاب را در اختیار بگیرد می تواند ترافیک اینترنتی را مشاهده و تغییر دهد در حالی که اگر مهاجمی کنترل یک سیستم NAS را در اختیار بگیرد میتواند به طور بالقوه به اطلاعات حساس ذخیره شده بر روی آن دسترسی یابد و با استفاده از روش جعلARP ترافیک دستگاه های دیگر را بر روی همان شبکه ارتباط ربایی نماید.
به هر حال نگرانی اصلی آن است که بسیاری از تولیدکنندگان NAS برای دستگاههای ارزان قیمت و گرانقیمت خود از یک کد منبع استفاده میکنند و این بدان معناست که آسیب پذیریهای یکسانی در این دستگاه ها وجود دارد. در نتیجه هزینه بیشتر برای خرید یک دستگاه به معنی امنیت بهتر آن نیست.
سازمان فناوری اطلاعات ایران
نظرات شما