Groot aantal kritieke lekken in populaire NASsen ontdekt
Een Amerikaanse beveiligingsonderzoeker heeft een groot aantal kritieke lekken in populaire NASsen ontdekt waardoor een aanvaller de netwerkopslagapparaten volledig kan overnemen en updates om de kwetsbaarheden te verhelpen zijn in alle gevallen nog niet beschikbaar.
Dat liet Jacob Holcomb van Independent Security Evaluators tijdens de Black Hat conferentie in Las Vegas weten. De onderzoeker is bezig met de analyse van NASsen van tien verschillende fabrikanten en heeft inmiddels meerdere kwetsbaarheden gevonden waardoor een aanvaller de apparaten volledig kan compromitteren. "Er was geen enkel apparaat dat ik niet letterlijk kon overnemen", aldus Holcomb tijdens zijn lezing.
Zeker de helft van de nu al ontdekte kwetsbaarheden zou zonder enige vorm van authenticatie misbruikt kunnen worden. In totaal gaat het om 22 unieke lekken. Holcomb is pas net met zijn project begonnen en verwacht nog veel meer lekken te vinden. Eerder deed hij een soortgelijk met wifi-routers, maar die kwamen er volgens de onderzoeker beter af. In totaal werden er 50 lekken in de routers ontdekt, maar Holcomb verwacht veel meer lekken in de NASsen te hebben gevonden als het project voorbij is.
De onderzochte NASsen zijn de Asustor AS-602T, TRENDnet TN-200 en TN-200T1, QNAP TS-870, Seagate BlackArmor 1BW5A3-570, Netgear ReadyNAS104, D-LINK DNS-345, Lenovo IX4-300D, Buffalo TeraStation 5600, Western Digital MyCloud EX4 en ZyXEL NSA325 v2. Tijdens de presentatie onthulde Holcomb een verborgen backdoor-account in de Seagate NAS en liet hij aanvallen tegen andere modellen zien. Alle gevonden lekken zijn inmiddels aan de betreffende fabrikanten gerapporteerd, maar de onderzoeker verwacht dat het zeker nog maanden kan duren voordat er patches verschijnen, zo meldt PC World.
Synology heeft momenteel ook geen kritieke fouten er in zinnen.
De problemen die momenteel met synology nassen zijn, komt voornamelijk omdat gebruikers niet hebben geupdate, of een
EOL NAS aan het Internet hebben geplaatst.
Dat komt er op neer, om je voordeur op te zetten, terwijl je op vakantie bent.
Echter dacht ik dat ik het veilig had gemaakt door alleen toegang te geven aan lokale adressen. Maar ik vraag me af of dat ook werkt tegen arp spoofing. Het kan nooit kwaad natuurlijk.
Echter dacht ik dat ik het veilig had gemaakt door alleen toegang te geven aan lokale adressen. Maar ik vraag me af of dat ook werkt tegen arp spoofing. Het kan nooit kwaad natuurlijk.
ARP spoofing werkt alleen maar op lokale netwerken, en heeft niets te maken met de genoemde kwetsbaarheden vanaf Internet in dit artikel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
