دستگاه‌های ذخیره سازی متصل به شبکه(NAS) دارای آسیب‌پذیری هستند

به گزارش مرکز فناوری اطلاعات ایران، پیش‌تر و در سال جاری یک تحلیلگر امنیتی شرکت Independent Security Evaluators به نام ژاکوب هولکومب، شروع به تحقیق در مورد امنیت دستگاه‌های NAS کرده بود. وی دستگاه‌های مشهوری از ده تولید کننده انتخاب کرده و متوجه شده بود که تمامی آنها در برابر سوء استفاده root آسیب‌پذیر هستند. بعلاوه وی کشف کرد که سوء استفاده از نیمی از این دستگاه‌ها نیازی به احراز هویت ندارد.

دستگاه‌های تست شده عبارت بودند از Asustor AS-602T، TRENDnet TN-200 و TN-200T1، QNAP TS-870،Seagate BlackArmor 1BW5A3-570، Netgear ReadyNAS104، D-LINK DNS-345، Lenovo IX4-300D،Buffalo TeraStation 5600، Western Digital MyCloud EX4 و ZyXEL NSA325 v2.

در طول یک ارائه در هفته گذشته در کنفرانس امنیتی Black Hat Europe در آمستردام، هولکومب یک کرم را به نمایش گذاشت که قادر است به طور خودکار و با سوء استفاده از آسیب‌پذیری‌های تزریق دستور و دور زدن احراز هویت، دستگاه‌های D-LINK DNS-345،TRENDnet TN-200/TN-200T1 و Western Digital MyCloud EX4 را آلوده سازد که ظاهراً هنوز اصلاح نشده‌اند.

کرم هولکومب می‌تواند گستره‌های از پیش تعیین شده آدرس‌های IP را اسکن کند تا دستگاه‌هایی را که روی TCP پورت 80 پاسخ می‌دهند کشف نماید. هنگامیکه یک دستگاه آسیب‌پذیر شناسایی می‌گردد، این کرم کد سوء استفاده کننده لازم را برای دستیابی به دسترسیroot اجرا می‌کند و یک پوسته تعاملی را نصب می‌کند. سپس یک کپی باینری از خود دانلود و اجرا کرده و شروع به اسکن از دستگاه جدید می‌نماید.

هولکومب کد این کرم را به صورت عمومی منتشر نکرده است، اما قصد دارد که در آینده و پس از عرضه اصلاحیه‌های مربوط به این آسیب‌پذیری‌ها، این کار را انجام دهد. هدف وی از نمایش این کرم این بود که اثبات کند که ایجاد یک بدافزار خود انتشار برای دستگاه‌هایNAS کار ساده‌ای است، چرا که بسیاری از این سیستم‌ها از معماری و حتی کد یکسانی که توسط تولید کنندگان چیپ ست ارائه شده است استفاده می‌کنند.

به گفته هولکومب، برخی تولید کنندگان نیز یک کد را در کل خط تولید مورد استفاده مجدد قرار می‌دهند، در نتیجه یک آسیب‌پذیری که در یک دستگاه NAS خانگی ارزان قیمت وجود دارد، می‌تواند در دستگاه‌های گران قیمت شرکتی همان تولید کننده نیز وجود داشته باشد. بنابراین در دستگاه‌های NAS پرداخت پول بیشتر لزوماً به معنای امنیت بهتر نیست.

کرم هولکومب کاری بیش از انتشار در یک شبکه محلی انجام نمی‌دهد، اما مهاجمان می‌توانند بدافزارهای مشابهی تولید کنند که دستگاه‌های NAS را که از طریق اینترنت در دسترس هستند مورد سوء استفاده قرار دهند و از آنها برای انجام حملات توزیع شده انکار سرویس یا سایر فعالیت‌های خرابکارانه بهره ببرند.