آسیب‌پذیری دستگاه‌های NAS

ارسال شده در 18 مرداد 1393 | دسته‌بندی: اخبار ، عمومی

یک بررسی امنیتی در خصوص دستگاه‌های NAS از چندین تولیدکننده نشان می دهد که این دستگاه‌ها نسبت به مسیریاب ها آسیب پذیرتر می‌باشند.

یک تحلیلگر امنیتی پس از بررسی دستگاه‌های NAS از 10 شرکت تولیدکننده، به این نکته رسید که آسیب پذیری‌هایی وجود دارد که می تواند منجر به کنترل کامل دستگاه توسط مهاجمان شود. این درحالیست که 50 درصد از آسیب پذیری های کشف شده می‌توانند بدون تایید هویت مورد سوء استفاده قرار بگیرند.

دستگاه هایی که مورد ارزیابی این تحلیلگر قرار گرفته اند عبارتند از: Asustor’s AS-602T، TRENDnet’s TN-200 و TN-200T1، QNAP’s TS-870، Seagate’s BlackArmor 1BW5A3-570، Netgear’s ReadyNAS104، D-LINK’s DNS-345، Lenovo’s IX4-300D، Buffalo’s TeraStation 5600، Western Digital’s MyCloud EX4 و ZyXEL’s NSA325 v2.

Holcomb سال گذشته بررسی مشابهی بر روی مسیریاب های معروف SOHO انجام داد و 50 آسیب پذیری را در این دستگاه ها شناسایی کرد. او انتظار دارد آسیب پذیری های شناسایی شده در سیستم های NAS بیشتر از مسیریاب‌ها باشد. انواع آسیب پذیری‌هایی که در این سیستم‌ها کشف شده‌است شامل تزریق دستورات، جعل درخواست‌های بین سایتی، سرریز بافر، دور زدن تایید هویت، افشای اطلاعات، راه نفوذ مخفی در حساب های کاربری، مدیر ضعیف نشست‌ها و پیمایش دایرکتوری می باشد. مهاجمان با ترکیب تعدادی از این آسیب پذیری‌ها می توانند دسترسی root دستگاه را بدست آورده و با داشتن بالاترین حق دسترسی دستورات را اجرا نمایند.

Holcomb بیان داشته که برخی از این آسیب پذیری ها به اطلاع شرکت های سازنده رسیده است و به زودی اصلاح می شوند.

تفاوت آشکاری مابین سوء استفاده از مسیریاب و سوء استفاده از دستگاه های NAS وجود دارد. اگر مهاجمی کنترل یک مسیریاب را در اختیار بگیرد می تواند ترافیک اینترنتی را مشاهده و تغییر دهد در حالی که اگر مهاجمی کنترل یک سیستم NAS را در اختیار بگیرد می‌تواند به طور بالقوه به اطلاعات حساس ذخیره شده بر روی آن دسترسی یابد و با استفاده از روش جعلARP ترافیک دستگاه های دیگر را بر روی همان شبکه ارتباط ربایی نماید.

به هر حال نگرانی اصلی آن است که بسیاری از تولیدکنندگان NAS برای دستگاه‌های ارزان قیمت و گرانقیمت خود از یک کد منبع استفاده می‌کنند و این بدان معناست که آسیب پذیری‌های یکسانی در این دستگاه ها وجود دارد. در نتیجه هزینه بیشتر برای خرید یک دستگاه به معنی امنیت بهتر آن نیست.

سازمان فناوری اطلاعات ایران