I ricercatori di Team82 di Claroty hanno individuato una tecnica di attacco che potrebbe sfruttare alcune vulnerabilità dei NAS WD e Synology.
Una delle prime cose da fare quando si cercano vulnerabilità in un prodotto è di individuare le funzionalità e i casi d’uso di tale dispositivo. Il compito dei ricercatori Claroty, infatti, è quello di comprendere meglio i vettori di attacco rilevanti per il dispositivo, ovvero capire in quale modo i malintenzionati potrebbero avvicinarsi a tale device e come potrebbero sfruttarlo a proprio vantaggio.
Western Digital, uno dei più grandi fornitori di NAS (network-attached storage) al mondo, offre ai propri utenti anche un servizio cloud (MyCloud OS5) che consente di accedere ai dispositivi da remoto tramite un’applicazione mobile o basata sul web. Come la maggior parte dei servizi cloud commercializzati, però, anche quello di WD porta con sé tutta una serie di rischi potenzialmente gravi.
La tecnica di attacco sviluppata durante la ricerca ha consentito al Team82 di enumerare tutti i dispositivi WD connessi al cloud, di rappresentarli e di ottenere l’accesso a ogni dispositivo tramite i servizi WD MyCloud. Inoltre, un utente malintenzionato potrebbe avere accesso anche a tutte le informazioni dei dispositivi, ai file e potrebbe eseguire il codice in remoto per assumerne il pieno controllo.
Nel caso di Synology, invece, Team82 ha sviluppato una tecnica che ha permesso ai ricercatori di impersonare il dispositivo NAS DS920+ collegato alla rete e forzare il servizio cloud QuickConnect per reindirizzare gli utenti a un dispositivo controllato direttamente dagli aggressori.
Come per Western Digital, l’accesso remoto ai dispositivi tramite cloud lascia sempre spazio a potenziali rischi per gli utenti. Sebbene, infatti, la maggior parte degli sviluppatori sfrutti un’ampia varietà di framework e librerie di autenticazione per implementare un modello di autenticazione e autorizzazione con un elevato livello di protezione, non sempre si può dire lo stesso per il canale di comunicazione del dispositivo con il cloud.
Sia nell’esempio di Synology che in quello di Western Digital, i ricercatori Claroty infatti hanno potuto fare leva sulle vulnerabilità presenti nel servizio cloud per accedere e prendere pieno controllo dei device.
Nel corso della ricerca sui dispositivi Synology sono stati, inoltre, scoperte vulnerabilità legate all’esecuzione di codice in modalità remota che potrebbero consentire a un utente malintenzionato di controllare i dispositivi e lanciare ulteriori attacchi. Nello specifico, l’attacco simulato dal Team82 ha consentito di prendere il controllo da remoto del dispositivo di un utente, rubare informazioni personali e accedere ai dati archiviati.