امروز: دوشنبه، 28 خرداد 1397

یک پژوهش‌گر امنیتی جزئیات فنی یک آسیب‌پذیری حیاتی وصله‌نشده در مدل‌های مختلف دستگاه NAS ال‌جی را به‌صورت کامل منتشر کرده است. این آسیب‌پذیری اجرای از راه دور دستورات، به مهاجمان اجازه می‌دهد تا دستگاه‌های آسیب‌پذیر را به خطر انداخته و داده‌های ذخیره‌شده بر روی آن‌ها را به سرقت ببرند.
 

دستگاه ذخیره‌ساز تحت شبکه‌ی (NAS) ال‌جی، یک واحد ذخیره‌سازی پرونده‌های اختصاصی متصل به شبکه است که ذخیره‌سازی و به اشتراک‌گذاری داده‌ها با چندین رایانه را برای کاربران ممکن می‌سازد. همچنین کاربران تاییدشده می‌توانند به‌صورت از راه دور و از طریق اینترنت به داده‌های خود دسترسی داشته باشند.

این آسیب‌پذیری توسط پژوهش‌گر شرکت امنیتی VPN Mentor کشف شده است. این شرکت ماه گذشته نیز آسیب‌پذیری‌های حیاتی موجود در سه شبکه‌ی خصوصی مجازی (VPN) محبوب HotSpot Shield، PureVPN و Zenmate را کشف کرده بود.

آسیب‌پذیری موجود در دستگاه NAS ال‌جی، یک آسیب‌پذیری تزریق دستور از پیش احراز هویت شده به‌صورت از راه دور است که به‌دلیل اعتبارسنجی نامناسب پارامتر «گذرواژه» در صفحه‌ی ورود کاربر برای مدیریت از راه دور به‌وجود آمده و به مهاجمان اجازه می‌دهد تا از طریق فیلد گذرواژه، دستورهای دلخواه خود را بر روی سامانه اجرا کنند.
       

مهاجمان با بهره‌برداری از این آسیب‌پذیری، در ابتدا می‌توانند یک پوسته‌ی پایدار ساده بر روی دستگاه‌های ذخیره‌سازی آسیب‌پذیر متصل به اینترنت بنویسند.
 
سپس با استفاده از این پوسته، می‌توانند به‌راحتی دستورات بیشتری را اجرا کرده و نیز پایگاه داده‌ی دستگاه‌های NAS، از جمله رایانامه‌ها، نام‌های کاربری و گذرواژه‌های هش‌شده توسط الگوریتم MD۵ کاربران را به‌صورت کامل بارگیری نمایند.

از آنجایی‌که گذرواژه‌های محافظت‌شده با الگوریتم رمزنگاری MD۵ به‌راحتی کرک می‌شوند، مهاجمان می‌توانند دسترسی به دستگاه‌های آسیب‌پذیر را به‌دست آوره و داده‌های ذخیره‌شده‌ی کاربران بر روی آن‌ها را به سرقت ببرند.

در مواردی که مهاجمان نخواهند گذرواژه‌های به سرقت رفته را کرک کنند، می‌توانند به‌منظور افزودن یک کاربر جدید به دستگاه و ورود به سامانه با آن گواهی‌نامه‌ها، دستور دیگری را اجرا کنند.

تمام مهاجمان برای افزودن یک کاربر جدید به پایگاه داده، به ایجاد یک MD۵ معتبر نیاز دارند. پژوهش‌گران می‌گویند: «ما می‌توانیم از ابزار دارای الگوریتم MD۵، برای ایجاد یک هش با نام کاربری آزمایشی و گذرواژه‌ی ۱۲۳۴ استفاده کنیم.»

از آنجایی‌که ال‌جی هنوز این آسیب‌پذیری را وصله نکرده است، به کاربران دستگاه‌های NAS ال‌جی توصیه می‌شود تا از قابل‌دسترسی نبودن دستگاه‌های خود از طریق اینترنت عمومی اطمینان حاصل کنند و به‌منظور اجازه دادن به مجموعه‌ی قابل‌اعتمادی از IPها برای اتصال به رابط وب، در پشت یک دیواره‌ی آتش پیکربندی شوند.

همچنین به کاربران توصیه می‌شود تا برای جلوگیری از هرگونه فعالیت مشکوکی، تمام نام‌های کاربری و گذرواژه‌های ثبت‌شده بر روی دستگاه‌های خود را به‌صورت منظم بررسی کنند.

منبع: news.asis.io