Ağ Depolama Aygıtlarından LG’de Bulunan Kritik RCE Kusurları

LG Electronics tarafından üretilen ağa bağlı bir depolama aygıtını kurduysanız, derhal aşağı çekmeniz, bu makaleyi dikkatlice okuyun ve ardından hassas verilerinizi korumak için gerekli önlemleri almanız gerekir.

Bir güvenlik araştırmacısı, çeşitli LG NAS cihaz modellerinde, saldırganların hassas cihazları etkilemesine ve üzerlerinde saklanan verileri çalmasına izin verebilecek, kritik bir uzaktan kumandalı uzaktan kumanda yürütme güvenlik açığı hakkındaki tüm teknik detayları açıkladı.

LG’nin Ağa Bağlı Depolama (NAS) aygıtı, kullanıcıların birden fazla bilgisayarla veri saklamalarını ve paylaşmalarını sağlayan bir ağa bağlı özel bir dosya depolama birimidir. Yetkili kullanıcılar da kendi verilerine İnternet üzerinden uzaktan erişebilirler.

Güvenlik açığı olan keşfedilen gizlilik savunucusu firması VPN Mentor, geçen ay üç şiddetli kusurları ortaya aynı şirkette araştırmacı tarafından popüler VPN -HotSpot Shield, PureVPN ve Zenmate.

LG NAS hatası uzaktan yönetim için kullanıcı giriş sayfasının “parola” parametresinin hatalı şekilde doğrulanması nedeniyle uzak bir saldırganın uzaktan sistem komutlarını parola alanı üzerinden geçmesine izin veren önceden tanımlı bir uzaktan komut ekleme güvenlik açığıdır.

nas-device-hacking

Aşağıdaki videodaki araştırmacılar tarafından gösterildiği gibi, saldırganlar, internete bağlı savunmasız depolama cihazlarına önce basit bir kalıcı kabuk yazmak için bu güvenlik açığından yararlanabilirler.

Bu kabuğu kullanarak saldırganlar daha fazla komutu kolayca çalıştırabilirler, bunlardan biri de kullanıcıların e-postaları, kullanıcı adları ve MD5 karma şifreleri de dahil olmak üzere NAS cihazlarının tüm veritabanını indirmelerine olanak verebilir.

MD5 şifreleme karma işleviyle korunan parolalar kolayca kırılabildiğinden, saldırganlar hassas erişim elde edebilir ve hassas cihazlarda saklanan kullanıcıları hassas şekilde çalabilir.

Saldırganların çalınan şifreyi kırmak istememesi durumunda, gösterildiği gibi, cihaza yeni bir kullanıcı eklemek ve yeni bir kullanıcı eklemek için başka bir komutu çalıştırabilir ve işin yapılması için bu kimlik bilgileriyle giriş yapabilirler.

[youtube https://www.youtube.com/watch?v=7RgCq5d13qk&w=560&h=315]

Veritabanına yeni bir kullanıcı eklemek için, bir saldırganın yapması gereken geçerli bir MD5 oluşturmaktır. Araştırmacılar, “Kullanıcı adı testi ve 1234 şifresiyle bir karma oluşturmak için dahil edilen MD5 aracını kullanabiliriz” diyor.

LG, bu konuyla ilgili henüz bir düzeltme yayınlamadığı için, LG NAS cihazlarının kullanıcılarının cihazlarının halka açık İnternet üzerinden erişilemediğinden emin olmaları ve yalnızca güvenilir bir IP setinin bağlanmasına izin verecek şekilde yapılandırılmış bir güvenlik duvarının arkasındaki korumanın yapılması tavsiye edilir.

Kullanıcıların, cihazlarındaki kayıtlı tüm kullanıcı adlarını ve şifrelerini kontrol ederek şüpheli etkinliklere periyodik olarak dikkat etmeleri önerilir.