De nouvelles vulnérabilités NAS encore plus sérieuses
Si vous disposez d’un NAS (Network Attached Storage) QNAP, vous feriez mieux de vous assurer que votre firmware est à jour…
Harry Sintonen, Senior Security Consultant chez F-Secure, a récemment présenté sa recherche sur les vulnérabilités qu’il avait détectées sur un NAS QNAP. Malheureusement, il vient d’en découvrir de nouvelles… avec des conséquences encore bien plus sérieuses.
« Les précédentes vulnérabilités que j’avais trouvées étaient seulement exploitables si les pirates s’étaient déjà introduits entre les serveurs QNAP et leur cible. Cette étape était suffisamment complexe pour décourager la plupart des cyber criminels souhaiter mener des attaques d’ampleur », explique Harry. « Mais ces récentes découvertes changent la donne. »
Ces vulnérabilités permettent aux pirates de prendre le contrôle de l’appareil à distance, via l’« injection de commandes ». Cette technique porte bien son nom : le pirate insert des commandes que votre NAS va exécuter.
Les pirates ne se contenteront peut-être pas d’accéder aux informations contenues sur le NAS. Ils pourront également supprimer des données, détourner l’appareil pour mener de nouvelles attaques (hijacking), et bien plus encore.
Comme l’explique Janne Kauhanen, Cyber Security Expert chez F-Secure, ces vulnérabilités sont on ne peut plus sérieuses. « Elles constituent des cibles faciles et intéressantes pour les cyber pirates. Ils n’ont pas besoin de mettre en place des stratégies poussées pour, par exemple, accéder à des privilèges d’accès particuliers. Ils peuvent facilement infecter votre appareil et accéder aux informations qu’il contient. »
Et ce n’est pas tout : les NAS exposés offrent aux pirates d’autres perspectives. « Un appareil de stockage de ce type peut être facilement utilisé comme un serveur en ligne », explique Janne. « Les cyber criminels peuvent facilement stocker n’importe quel contenu sur votre appareil et exécuter n’importe quel service depuis celui-ci. Il peut s’agir d’un e-commerce vendant des biens ou services douteux, ou d’une plateforme pirate lançant des attaques sur internet. Il vous appartiendra ensuite d’expliquer aux autorités pourquoi ces attaques viennent de chez vous. Les pirates peuvent aussi utiliser des informations compromettantes présentes sur votre NAS pour vous faire chanter. C’est ce que les russes appellent le « kompromat ».
« L’extorsion en ligne rencontre un grand succès. Que vous ayez ou non fait quelque chose de répréhensible n’a pas d’importance. La seule chose qui compte et vous protège des maîtres-chanteurs est la sécurité de vos appareils », ajoute Janne.
Qui est donc concerné par ce problème ? Harry a utilisé un QNAP TVS-663 pour ses recherches. Le problème réside dans le firmware, comme c’est très souvent le cas lorsqu’il s’agit d’objets connectés (routeurs, webcams, et autres appareils connectés à internet).
Les mêmes vulnérabilités sont présentes sur tous les dispositifs exécutant le même firmware (dans le cas présent, QTS 4.2.3). Harry a trouvé près de 90 000 appareils qu’il estime vulnérable. Mais il a limité sa recherche aux dispositifs connectés à internet. Le nombre réel d’appareils concernés est donc potentiellement encore plus important.
Pour Mikael Albrecht, Chercheur chez F-Secure, lui-même détenteur d’un appareil NAS QNAP, les objets connectés vulnérables recèlent, de manière générale, de nombreux dangers, mais pour les unités NAS mal-sécurisées, la menace est encore plus importante. « En tant que détenteur d’un QNAP, j’ai naturellement été très inquiet en prenant connaissance des découvertes de Harry. Je suis familier des problèmes de sécurité liés aux objets connectés, mais un NAS mal sécurisé est particulièrement dangereux. La plupart des travaux numériques que j’ai produits dans ma vie sont sur cet appareil ! Heureusement, les QNAP disposent d’un système de distribution de mises à jour, effectuées relativement fréquemment. »
Bonne nouvelle : QNAP a déjà résolu le problème en mettant à jour le firmware vulnérable. Selon Harry, ils sont intervenus particulièrement rapidement, et ont réagi bien mieux que d’autres vendeurs lorsqu’ils sont eux-mêmes confrontés à des problèmes de cette nature avec leurs propres produits.
Si vous êtes en possession d’un appareil NAS QNAP, pensez à le mettre à jour dès maintenant (ou à vous assurer qu’il exécute bien QTS 4.2.4). De manière générale, vérifiez régulièrement que le firmware de vos appareils connectés est à jour. Les appareils connectés ont inondé le marché de l’informatique et nombre d’entre eux ne sont pas suffisamment sécurisés. Ils ne protègent pas correctement vos données privés et les cyber criminels peuvent s’en servir pour vous attaquer. Pensez toujours à mettre à jour et à sécuriser vos appareils !
Catégories