一项针对多家厂商NAS设备的安全调查显示,NAS设备比家用路由器更加容易受到恶意的攻击,而路由器之前常常因为其安全性之低和脆弱的代码而广受诟病。
来自独立安全评估机构的安全分析师Jacob Holcomb参与了这项针对10家厂商生产的NAS设备的安全测试,目前为止,他在所有参评的10种NAS设备中都找到了可以导致设备危险的漏洞。
Holcomb在拉斯维加斯举行的黑帽大会的演讲中说:“没有一台机器能够阻止我的入侵。”他在演讲中展示了一些她之前的发现:“至少有50%的设备可以未经授权就能够被破解。”
参与评估的设备有:Asustor的 AS-602T,TRENDnet的 TN-200和TN-200T1,QNAP的 TS-870,希捷的BlackArmor 1BW5A3-570,网件的ReadyNAS104,D-LINK的 DNS-345,Lenovo的IX4-300D,Buffalo的TeraStation 5600,Western Digital的MyCloud EX4 和ZyXEL’s NSA325 v2。
目前为止,安全组织MITRE已经因为上述研究人员找到的漏洞派出了22个CVE(通用漏洞纰漏)认证人员,但是该项目刚刚开始。他希望在年底之前能够找到更多。他说,这些设备比路由器的情况更加糟糕。
Holcomb在去年主导了一个类似的针对通用SOHO路由器的调查,当时认证了超过50多个漏洞。他希望能够在这个新的针对NAS的调查项目完结之前,能够找到NAS系统中更多的漏洞,而他认为这个数字会远远超过路由器中的数量。
在NAS系统中,他发现的问题包括:命令诸如、跨站点请求伪造、缓冲区溢出、认证旁路或失败、信息纰漏、后门账户、不健全的会话管理和目录遍历等。通过总结上述的漏洞,攻击者可以获得该设备的“root”脚本,可以允许他们使用最高权限来执行命令。
Holcomb在他的黑帽大会的演讲中证实了对D-Link、网件、Buffalo和TRENDnet NAS设备的攻击。他还透漏了希捷设备上的一个后门账户以及Asustor产品上的一个确定的cookie发生器。
目前为止,所有发现的漏洞都已经报告给了各个厂商,但是他们的补丁发布可能要话费数月的时间。Holcomb说,黑帽大会上提出的这些问题还没有固定(+微信关注网络世界),所以他们可以被认为是零-day漏洞。
破解NAS设备和破解路由器设备之后可以做什么呢?两者之间是有很大去别的。通过控制一台路由器,入侵者可以捕捉并控制一个网络的流量,而黑客入侵NAS设备可以获得针对那些敏感数据的访问入口。
路由器相比于NAS来说,更易于从互联网进行访问,但是这并不意味着NAS设备并不在黑客的攻击之列。
一份来自Dell SecureWorks的报告显示,一个黑客通过攻击一台Synology的NAS设备,并用它们来挖掘Dogecoin(这是一种数字货币),最后获利60万美元。更近的一段时间,一些Synology NAS用户报告称他们的系统曾经被一个叫做SynoLocker的文件加密恶意软件入侵。
Holcomb介绍,通过入侵一个NAS设备,黑客可以使用像ARP之类的欺骗技术来劫持处于同一个网络中的其他设备。
研究者说,一个很大的问题就是NAS厂商针对他们的高端和低端设备使用的都是同样的代码。这意味着在低端的家用NAS设备里可能存在的漏洞同样也有可能存在于那些昂贵的用于企业级环境的高端NAS系统。
Holcomb说:“花费更多买一台更高级的设备并不意味着得到了更高的安全性。”
独立安全评估机构已经与前沿电子基金会进行合作来组织一个SOHO路由器的黑客大赛。目的是为了提高大家对这类设备不安全状态的人士。Holcomb的新研究认为其他的嵌入式设备可能会更糟糕。