F-Secure ostrzega: dyski NAS marki QNAP zagrożone atakami hakerskimi

Luki w oprogramowaniu urządzeń zdarzają się regularnie, jednak tym razem chodzi o ponad milion produktów. Zagrożone są dyski NAS QNAP-a, nad którymi można przejąć zdalną kontrolę. Na czym polega błąd w oprogramowaniu?

  1. Skąd pochodzą informacje o zagrożeniu?
  2. W jaki sposób można przejąć kontrolę nad NAS-em QNAP?
  3. Urządzenia z jakim firmware są narażone na atak?
  4. Kiedy ma nastąpić jego aktualizacja?

Niedoskonały firmware

Zagrożenie ze strony hakerów dotyczy nie tylko stron internetowych, ale również wykorzystujących sieć urządzeń. Świadomi ryzyka producenci coraz chętniej organizują więc różnego rodzaju wyzwania i rywalizacje dla entuzjastów, nagradzając ich za odnalezione luki w oprogramowaniu.

Głośny stał się m.in. sukces Janiego, 10-latka z Helsinek, inkasującego ubiegłego lata od Facebooka 10 tys. dol. nagrody za odnalezienie zagrożenia w działaniu Instagrama. Tym razem chodziło o możliwość zdalnego kasowania treści na profilu, jednak podobne niebezpieczeństwa dotyczą zwykle danych o znacznie większym znaczeniu.

Jednym ze specjalistów w analizie oprogramowania sprzętowego jest starszy konsultant ds. bezpieczeństwa w firmie F-Secure, Harry Sintonen. Pół roku temu odkrył on lukę w zabezpieczeniach routerów marki Inteno, natomiast na zakończonym niedawno evencie hakerskim Disobey w Helsinkach poinformował o zagrożeniu dotyczącym popularnych dysków NAS autorstwa firmy QNAP.

Niebezpieczne aktualizacje

Okazało się bowiem, że już w lutym 2016 roku specjaliści z F-Secure odkryli charakterystyczną podatność w oprogramowaniu QNAP-a TVS-663. Urządzenie przesyła bowiem żądanie aktualizacji w formie niezaszyfrowanej, a to z kolei mogą wykorzystać hakerzy stosujący atak o nazwie Man In the Middle.

W rezultacie oprogramowanie trafiające na NAS-a mogą oni dowolnie zmodyfikować, aby następnie przejąć kontrolę nad urządzeniem. Od tego momentu są w stanie zdalnie instalować złośliwe oprogramowanie, korzystać z danych czy przejmować hasła.

Na dowód stawianych tez, F-Secure stworzyło odpowiedniego exploita, który zgodnie z oczekiwaniami uporał się z fabrycznymi zabezpieczeniami dysku. Dokonałby tego również w większej liczbie modeli, gdyż identyczny problem dotyczy wszystkich NAS-ów korzystających z oprogramowania QTS 4.2 lub nowszego, a to obecnie przekłada się na 1,4 mln urządzeń.

Zobacz również: Cybersejf: Chcą twoich pieniędzy. Fałszywe maile od cyberprzestępców

Zagrożenie pozostaje aktualne

QNAP potwierdził istnienie zagrożenia, jednak nową wersję oprogramowania przygotowuje dopiero na marzec bieżącego roku. Do tego czasu zalecane jest wyłączenie automatycznych aktualizacji i dokonywanie ich wyłącznie manualnie i z zaufanych źródeł.

W całej historii profesjonalnie zachował się wyspecjalizowany w cyberbezpieczeństwie F-Secure, a jednocześnie fatalnie sam QNAP. 13-miesięczny czas reakcji na tak poważne zagrożenie powinien być znacznie krótszy i może marce odczuwalnie zaszkodzić wizerunkowo. Spora część oferty firmy to przecież rozwiązania dla biznesu i jego poufnych danych.

Źródło: materiały prasowe, F-Secure, materiały prasowe, QNAP

Podziel się:

Przeczytaj także:

Także w kategorii Technologie:

15.07, czyli Dzień bez telefonu komórkowego. Dziwne to święto Niezwykłe urządzenia: największe, najszybsze i najdroższe maszyny świata Julian Assange: drzazga w tyłku prezydenta. WikiLeaks ujawnia to, co władze chcą ukryć "Spagettifikacja". Co się stanie, jeżeli wpadniesz do czarnej dziury? Zmiana czasu. Dlaczego dwa razy w roku przestawiamy zegarki? Jak brzmi liczba pi? Długa historia płyty CD. Czy srebrny krążek ma jeszcze przyszłość? Współczesne czołgi i pojazdy bojowe Wojska Polskiego. Ten sprzęt ma nas obronić Nietypowe zastosowania WD-40. Do czego można go wykorzystać? Rok 1984: 35 lat temu Macintosh rzucił wyzwanie Wielkiemu Bratu Rosyjski Air Force One. Tak wygląda wnętrze osobistego samolotu Władimira Putina To lata! Najdziwniejsze samoloty pionierów lotnictwa Lotniskowiec z lodu. Projekt niezwykłego okrętu z czasów drugiej wojny światowej Konstruktor rzuca wyzwanie planowemu starzeniu. Lampa Dysona wytrzyma 37 lat Te samoloty mają nas bronić! Jakim sprzętem dysponuje polskie lotnictwo? Cuda techniki, które działają bez prądu Współczesne lotniskowce. Najpotężniejsze okręty, jakie kiedykolwiek pływały po morzach 11 zapomnianych konkurentów PlayStation: Jaguar, Amiga CD32, Apple Pippin i inne Najbardziej bezużyteczny klawisz na klawiaturze. Do czego służy? Najlepsze śmigłowce szturmowe dla polskiej armii Jeden z nich to chińska podróbka. Potrafisz wskazać, który? Genialny naukowiec wymyślił Internet na nowo. Poświęcił na to 40 lat życia Najlepsze małe, bezprzewodowe głośniki. Co oferują Harman Kardon, Creative, Marshall i Polk Audio? Kosmiczne technologie, których używamy na co dzień

Popularne w tym tygodniu:

"Black Pearl" w Polsce. Największy prywatny żaglowy jacht świata w porcie w Gdańsku MSC Gülsün. Największy kontenerowiec świata pojawi się w Gdańsku. Zobacz wideo Samoloty solarne. Nadchodzi rewolucja w lataniu? Fedor leci w kosmos. To robot