كرم سوءاستفاده‌كننده از دستگاه‌های NAS

شماره: IRCNE2014102352
تاريخ: 29/7/93

يك محقق كشف كرده است كه دستگاه‌هاي ذخيره سازي متصل به شبكه (NAS) داراي آسيب‌پذيري‌هايي هستند كه مي‌توانند داده‌هاي حساس و شبكه‌ها را در معرض خطر قرار دهند. وي براي اثبات نظر خود، يك كرم توليد كرده است كه مي‌تواند به دستگاه‌هاي سه توليد كننده مختلف ضريه بزند.
پيش‌تر و در سال جاري يك تحليلگر امنيتي شركت Independent Security Evaluators به نام ژاكوب هولكومب، شروع به تحقيق در مورد امنيت دستگاه‌هاي NAS كرده بود. وي دستگاه‌هاي مشهوري از ده توليد كننده انتخاب كرده و متوجه شده بود كه تمامي آنها در برابر سوء استفاده root آسيب‌پذير هستند. بعلاوه وي كشف كرد كه سوء استفاده از نيمي از اين دستگاه‌ها نيازي به احراز هويت ندارد.
دستگاه‌هاي تست شده عبارت بودند از Asustor AS-602T، TRENDnet TN-200 و TN-200T1، QNAP TS-870، Seagate BlackArmor 1BW5A3-570، Netgear ReadyNAS104، D-LINK DNS-345، Lenovo IX4-300D، Buffalo TeraStation 5600، Western Digital MyCloud EX4 و ZyXEL NSA325 v2.
در طول يك ارائه در هفته گذشته در كنفرانس امنيتي Black Hat Europe در آمستردام، هولكومب يك كرم را به نمايش گذاشت كه قادر است به طور خودكار و با سوء استفاده از آسيب‌پذيري‌هاي تزريق دستور و دور زدن احراز هويت، دستگاه‌هاي D-LINK DNS-345، TRENDnet TN-200/TN-200T1 و Western Digital MyCloud EX4 را آلوده سازد كه ظاهراً هنوز اصلاح نشده‌اند.
كرم هولكومب مي‌تواند گستره‌هاي از پيش تعيين شده آدرس‌هاي IP را اسكن كند تا دستگاه‌هايي را كه روي TCP پورت 80 پاسخ مي‌دهند كشف نمايد. هنگاميكه يك دستگاه آسيب‌پذير شناسايي مي‌گردد، اين كرم كد سوء استفاده كننده لازم را براي دستيابي به دسترسي root اجرا مي‌كند و يك پوسته تعاملي را نصب مي‌كند. سپس يك كپي باينري از خود دانلود و اجرا كرده و شروع به اسكن از دستگاه جديد مي‌نمايد.
هولكومب كد اين كرم را به صورت عمومي منتشر نكرده است، اما قصد دارد كه در آينده و پس از عرضه اصلاحيه‌هاي مربوط به اين آسيب‌پذيري‌ها، اين كار را انجام دهد. هدف وي از نمايش اين كرم اين بود كه اثبات كند كه ايجاد يك بدافزار خود انتشار براي دستگاه‌هاي NAS كار ساده‌اي است، چرا كه بسياري از اين سيستم‌ها از معماري و حتي كد يكساني كه توسط توليد كنندگان چيپ ست ارائه شده است استفاده مي‌كنند.
به گفته هولكومب، برخي توليد كنندگان نيز يك كد را در كل خط توليد مورد استفاده مجدد قرار مي‌دهند، در نتيجه يك آسيب‌پذيري كه در يك دستگاه NAS خانگي ارزان قيمت وجود دارد، مي‌تواند در دستگاه‌هاي گران قيمت شركتي همان توليد كننده نيز وجود داشته باشد. بنابراين در دستگاه‌هاي NAS پرداخت پول بيشتر لزوماً به معناي امنيت بهتر نيست.
كرم هولكومب كاري بيش از انتشار در يك شبكه محلي انجام نمي‌دهد، اما مهاجمان مي‌توانند بدافزارهاي مشابهي توليد كنند كه دستگاه‌هاي NAS را كه از طريق اينترنت در دسترس هستند مورد سوء استفاده قرار دهند و از آنها براي انجام حملات توزيع شده انكار سرويس يا ساير فعاليت‌هاي خرابكارانه بهره ببرند.