F-Secure individua tre vulnerabilità in un dispositivo NAS della gamma QNAP Systems, lo storage TVS-663 potrebbe essere controllato in remoto da malintenzionati.
Ciò che è stato riscontrato potrebbe interessare milioni di dispositivi attualmente in uso, e va a confermare un trend preoccupante che vede gli utenti sempre più esposti a minacce online a causa di prodotti insicuri.
Durante l’indagine è emerso che gli attaccanti potrebbero usare queste vulnerabilità nel processo di aggiornamento del firmware del dispositivo per prenderne il controllo come amministratore. Questo livello di controllo fornirebbe loro gli stessi diritti riservati ad amministratori legittimi, permettendo agli attaccanti di compiere azioni come installare malware, accedere a contenuti e dati, rubare password, e persino eseguire comandi a distanza.
Harry Sintonen, Senior Security Consultant di F-Secure
Molte vulnerabilità di questo tipo non sono gravi in sé. Ma attaccanti capaci di sfruttarle tutte insieme possono causare un attacco su larga scala. Gli hacker sanno che anche le piccole sviste di sicurezza possono trasformarsi in grandi opportunità con il giusto know-how.
L’attacco “di prova” sviluppato da Sintonen inizia quando il dispositivo invia richieste non crittografate per verificare se vi sono aggiornamenti del firmware. La mancanza di crittografia permette a potenziali attaccanti di intercettare e modificare la risposta a questa richiesta. Sintonen ha tratto vantaggio da questa debolezza inviando al dispositivo un attacco (exploit) che sembrava un aggiornamento del firewall. L’aggiornamento falso del firmware inganna il dispositivo che tenta automaticamente di installarlo. E mentre l’aggiornamento falso non viene mai realmente installato, l’attacco usa una falla nel processo per produrre una compromissione di tutto il sistema.
Secondo Sintonen, rubare o alterare dati è facile per un attaccante che sia in grado di utilizzare queste vulnerabilità. “Tutto ciò che devi fare è comunicare al dispositivo che hai una versione più nuova del suo firmware. E poiché la richiesta di aggiornamento viene fatta senza crittografia, non è molto difficile da fare. In fondo, per un attaccante è come rubare una caramella a un bambino.”
Sintonen ha limitato la sua indagine al modello TVS-663 di QNAP, ma sospetta che i modelli che usano lo stesso firmware presentino le stesse problematiche. Basandosi su questo, Sintonen stima che oltre 1,4 milioni di dispositivi potrebbero essere vulnerabili, sebbene ammetta che il numero potrebbe essere molto più alto.
“Abbiamo trovato 1,4 milioni di dispositivi ricercando le versioni del firmware attualmente in uso. Ma dal momento che molte persone non hanno mai aggiornato il loro firmware, il numero effettivo potrebbe essere molto più alto. Forse milioni” ha dichiarato Sintonen.
F-Secure ha comunicato a QNAP questi problemi nel Febbraio del 2016. Tuttavia, nel momento in cui viene redatto questo comunicato, i ricercatori di F-Secure non sono a conoscenza di alcuna patch resa disponibile da QNAP. Senza una patch rilasciata dall’azienda, non c’è modo di risolvere definitivamente il problema di questi dispositivi.
Janne Kauhanen, esperto di cyber security di F-Secure
Problemi come questi sono incredibilmente comuni per i dispositivi connessi a Internet. In pratica, stiamo costantemente acquistando prodotti che presentano queste problematiche di sicurezza. In questo caso, gli attaccanti prima devono essere in grado di frapporsi tra il server di aggiornamento e l’utente, e questo è sufficiente per scoraggiare molti attaccanti opportunistici o con poca esperienza. Ma abbiamo visto casi in cui attaccanti motivati hanno usato simili problematiche di sicurezza per fare ricognizione in preparazione a una campagna di phishing, o per nascondere la loro presenza nelle reti, quindi possono ancora fare seri danni.
Mentre si attende una patch definitiva, chiunque stia usando un dispositivo NAS TVS-663 di QNAP o altri dispositivi che si basano sullo stesso firmware (QTS firmware 4.2 o successive versioni) dovrebbe disabilitare il sistema di aggiornamento automatico del firmware, ed eseguire la verifica manualmente con fonti sicure fino a quando il problema sarà risolto. Kauhanen raccomanda a tutti coloro che stanno usando un dispositivo colpito per lavoro o per compiti che mettono in gioco informazioni sensibili di implementare queste misure temporanee per proteggersi.
Il vendor e le autorità sono state messe a conoscenza della vulnerabilità molto prima del rilascio di questa comunicazione informativa.