lunes, 11 de agosto de 2014

¿Son seguros nuestros NAS?

Tras el escándalo de seguridad que ha afectado a diferentes NAS del fabricante Synology muchos usuarios y administradores han temido por el acceso seguro a los datos de sus NAS y aunque si bien es cierto que el fallo de seguridad que del que se ha aprovechado SynoLocker, el hack en cuestión, afectaba únicamente a versiones antiguas de su firmware (DSM 4.3-3810 o inferiores) y por lo tanto la responsabilidad recae en igual medida sobre quien gestiona el NAS y a su obligación de actualizar y parchear el sistema. Pese a ello este caso hace que nos planteemos una duda: ¿son nuestros NAS seguros?



Estos días atrás se ha celebrado el evento Black Hat 2014, donde diferentes hackers y expertos en seguridad han evaluado y criticado las medidas de seguridad de varias plataformas entre otros, y precisamente los sistemas NAS han tenido especial protagonismo.

Jacob Holcomb, experto en seguridad independiente, demostró cómo gracias a diferentes vulnerabilidades descubiertas se podía tener acceso a los datos en 10 fabricantes de equipos NAS diferentes:
  • Asustor AS-602T
  • TRENDnet TN-200 y TN-200T1
  • QNAP TS-870
  • Seagate BlackArmor 1BW5A3-570
  • ReadyNAS104 Netgear
  • D-Link DNS-345
  • Lenovo IX4-300D
  • Buffalo TeraStation 5600
  • Western Digital MyCloud EX4 
  • ZyXEL NSA325 v2
En la lista vemos que aparecen casi todos los fabricante, salvo Synology o Lacie aunque eso no significa que estén exentos de problemas con sus firmwares actuales, pero otros grandes fabricantes como QNAP fallan en el test de seguridad de Jacob Holcomb, quien asegura poderse valer de hasta 22 agujeros de seguridad que le dan acceso a la totalidad de los datos sin necesidad de autencicación, aunque en este caso estos vulnerabilidad ya han sido puesto en conocimiento de cada fabricante y de la organización MITRE (quien gestiona los CVE comunes y que ya ha otorgado un caso a cada una de las vulnerabilidades anunciadas), así que quedamosa la espera que en los próximos meses ofrezcan soluciones en forma de actualizaciones para sus sistemas.

Por ahora sabemos que los ataques utilizados por Jacob se badan en la inyección de comandos, cross-site request forgery, desbordamientos de búffer, desvíos y errores de autenticación, manipulación en la información anunciada, cuentas para puertas traseras (en el caso de Seagate), mala gestión de la sesión y directorio transversal. Gracias a estas técnicas y medios se ha conseguido obtener el acceso como root dentro de la shell de cada dispositivo permitiendo control absoluto del aparato.

Jacob se ha convertido en una figura importante a la hora de sacar los colores a diversos fabricantes de equipos tecnológicos y ya el año pasado destapó hasta 50 vulnerabilidades críticas en diferentes routers y este año decidió testear la integridad de equipos NAS.

Un NAS alberga posiblemente lo más valioso que podemos tener en nuestro entorno (hablando de forma genérica): los datos. Seamos empresa o particular en un NAS podemos guardar desde los datos de nuestros clientes hasta nuestro backup personal con la mayor recopilación de fotos que relatan nuestra vida, en ocasiones incluso se da el grave error de contener una única copia de los datos, como pasa en algunas pymes, de ahí la importancia de velar por la seguridad e integridad de estos valiosos datos.

Quizás este anuncio debería hacernos plantear cómo son de seguros nuestros NAS, nuestros routers, nuestras redes y toda la infraestructura donde se terminan almacenados nuestros datos.

2 comentarios:

Impresionante noticia, hace que te replantees el tener un NAS abierto a Internet.

Bajo mi punta de vista un nas NUNCA debería de estar abierto en internet, por lo menos sin estar detrás de una VPN como mínimo.
Como poseedor de un synology puedo constatar un montón de intentos fallidos al servicio ssh hasta que he ido securizando un poco el tema y ahora ya son nulos. Cualquier servicio expuesto a internet va a ser atacado y en el caso de los nas no son pocos los servicios que pueden usarse, en nuestras manos está el ponerlo difícil a los atacantes ya que la seguridad 100% no existe.
Para cuando un post con consejos sobre cómo securizar nuestros nas?
Un saludo y felicidades por el blog

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More