Un investigador de
seguridad de la empresa VPN Mentor ha descubierto una vulnerabilidad de
ejecución de código remoto en varios modelos de dispositivos LG NAS. Este fallo
podría permitir a un atacante comprometer los dispositivos vulnerables y robar
datos almacenados en ellos.
Los dispositivos NAS
son unidades de almacenamiento de archivos conectadas a una red que permite a
los usuarios almacenar y compartir datos con varios equipos.
El fallo en cuestión,
reside en la validación incorrecta del parámetro "contraseña" de la
página de inicio de sesión para la administración remota del dispositivo.
Explotando este campo, los atacantes pueden pasar comandos arbitrarios del
sistema.
El modo de actuar más
simple para la explotación del fallo es inyectando una shell simple con la que
poder ejecutar los comandos con mayor comodidad.
Con el uso de la
shell, los atacantes pueden incluso descargar la base de datos completa del
dispositivo NAS, incluidos los correos electrónicos, los nombres de usuario y
las contraseñas hasheadas en MD5.
Dado que el cifrado
MD5 es muy débil y se puede romper con facilidad, un atacante remoto podría
obtener acceso autorizado y robar datos sensibles almacenados en los
dispositivos vulnerables.
Otra manera de actuar
sería agregar un nuevo usuario al dispositivo mediante los comandos ejecutados
en la shell, e iniciar sesión con esas credenciales.
Dado que LG aún no ha
lanzado una actualización que solucione el problema, se recomienda a los usuarios
que posean alguno de estos dispositivos, que lo desconecte hasta que el fallo
sea parcheado.
Para los usuarios que
no quieran prescindir del uso de su dispositivo NAS, se recomienda asegurarse
de que su dispositivo no es accesible desde Internet, que estén protegidos por
un firewall que solo permita el acceso a ellos por un grupo confiable de IPs y
que observen periódicamente cualquier actividad sospechosa en la verificación
de usuarios y contraseñas.
Más información:
Reporte de VPN
Mentor: https://www.vpnmentor.com/blog/critical-vulnerability-found-majority-lg-nas-devices/
Fuente: Hispasec