دستگاه‌های NAS شرکت ال‌جی در معرض حملات از راه دور

محققان روز پنجشنبه هشدار داده‌اند که حفره‌های امنیتی جدی در یکی از دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) یافت شده‌ که به نفوذگران اجازه می‌دهند تا از راه دور به دستگاه‌ها دسترسی داشته باشند.
گرگلی ابرهارت از شرکت SEARCH-LAB مستقر در مجارستان به تجزیه و تحلیل محصول N۱A۱ NAS شرکت ال‌جی پرداخته است و چندین آسیب‌پذیری را کشف کرده که می‌توانند برای دسترسی به مدیریت دستگاه مورد استفاده قرار گیرند.
در حال حاضر این محصول در وب‌گاه ال‌جی در زمره‌ی محصولاتی رده بندی شده که تولید نمی‌شوند، اما این محقق به SecurityWeek گفته است که پنج هزار دستگاه آسیب‌پذیر وجود دارند که می‌تواند مستقیماً از اینترنت به آن‎ها دسترسی داشت. درحالی که بیشتر این دستگاه‌ها در کره‌جنوبی قرار دارند، اما صدها دستگاه دیگر نیز در آمریکا، آلمان و هلند مشغول به کار هستند.
بسیاری از مشکلاتی که به وسیله این کارشناس شناسایی شده‌اند، به FamilyCast مربوط می‌شوند که یک قابلیت برای اجازه دادن به کاربران جهت دسترسی و به اشتراک‌گذاری آسان‎تر ویدئوها، تصاویر، موسیقی‌ها و دیگر انواع محتوا است.
یکی از مشکلاتی که به وسیله‌ی ابرهارت پیدا شده‌ است، به این واقعیت برمی‌گردد که بسیاری از اسکریپت‌ها PHP که به وسیله‌ی خدمات FamilyCast استفاده می‌شوند، هیچ کدام از جلسه‌ها را بررسی نمی‌کنند. درحالی‌که استفاده از خدمات FamilyCast نیاز به این دارد که کاربران در این سرویس با نام کاربری وارد شوند، این حفره، اجازه می‌دهد که پرونده‎هایی که به وسیله‌ی FamilyCast به اشتراک گذاشته شده‌اند، بدون احراز هویت از راه دور مورد دسترس قرار گیرند. همچنین این کار موجب می‌شود تا دیگر آسیب‌پذیری‌های پیدا شده روی سامانه نیز توسط یک مهاجم غیرمجاز مورد بهره‌برداری قرار گیرد.
همچنین ابرهارت کشف کرده است که خدمات FamilyCast دست کم از یک آسیب‌پذیری SQL رنج می‌برد که می‌تواند برای دسترسی به درهم‌سازی نام کاربری و رمز عبور مورد استفاده قرار گیرد.
همچنین این محقق دریافته است که یک بارگذار مخفی در FamilyCast می‌تواند برای بارگذاری یا بارگیری هر پرونده‎ای از سامانه استفاده شود.
یکی دیگر از نقص‌های جدی مربوط به ذخیره‌سازی اطلاعات حساس شامل درهم‎سازی‎های رمز عبور در پرونده‎های رویداد نام است. در حالی‎که مهاجم به‎طور معمول برای به دست آوردن رمز عبور، نیاز به شکست درهم‎ساز دارد، این کارشناس دریافته است که پارامترهای رویداد نیز ثبت می‌شوند و پارامتر مربوط به فرایند ورود به دستگاه NAS می‌تواند برای ورود مستقیم به سامانه استفاده شود.
شرکت SEARCH-LAB یک پرونده تصویری منتشر کرده است که نشان می‌دهد، چگونه این آسیب‌پذیری‌ها می‌توانند برای دسترسی از راه دور به مدیریت دستگاه مورد بهره‌برداری قرار گیرند.
این آسیب‌پذیری‌ها در ماه مارس ۲۰۱۵ کشف شده‌اند، اما شرکت SEARCH-LAB در ابتدا با دشواری‌هایی در توضیح این حمله روبرو بود. شرکت ال‌جی حفره‌های N۱A۱ را در اوایل ماه اکتبر سال ۲۰۱۵ با انتشار سفت‌افزار نسخه ۱۰۱۲۴ وصله کرده است.
SEARCH-LAB برای بیان جزئیات این آسیب‌پذیری‌ها تاکنون منتظر مانده تا به کاربران فرصت دهد، به‎روزرسانی‌های سفت‌افزار را نصب کنند. این شرکت به کاربران توصیه کرده که از قرار دادن رابط کاربری وب دستگاه‌های NAS در معرض اینترنت خودداری کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap