L'analyste en sécurité Jacob Holcomb, qui travaille pour le cabinet de sécurité de Baltimore Independent Security Evaluators, a découvert que les dispositifs Network-Attached Storage (NAS) étaient criblés de vulnérabilités pouvant mettre en danger la sécurité des données sensibles et des réseaux. Pour le prouver, il a créé un ver proof-of-concept capable d'infecter les appareils de trois fabricants différents. Après avoir testé les appareils les plus utilisés de 10 fournisseurs, il est arrivé à la conclusion que tous étaient sensibles à la compromission de root. En outre, il a constaté que la moitié des matériels n'étaient protégés par aucun système d'authentification, facilitant d'autant leur piratage.

Les appareils testés par le chercheur sont les suivants : AS-602T d'Asustor, TN-200 et TN-200T1 de TRENDnet, TS-870 de QNAP, BlackArmor 1BW5A3-570 de Seagate, ReadyNAS104 de Netgear, DNS-345 de D-Link, IX4-300D de Lenovo, TeraStation 5600 de Buffalo, MyCloud EX4 de Western Digital et NSA325 v2 de ZyXEL. Lors de la conférence sur la sécurité Black Hat Europe qui s'est tenue la semaine dernière à Amsterdam, Jacob Holcomb a montré comment son ver proof-of-concept pouvait automatiquement infecter les NAS DNS-345 de D-LINK, TN-200/TN-200T1 de TRENDnet et MyCloud EX4 de Western Digital en exploitant des vulnérabilités permettant des attaques par injection et un contournement d'authentification, failles qui, à sa connaissance, n'avaient pas encore été corrigées.

Le code du ver sera publié après la correction des failles

Le ver mis au point par Jacob Holcomb est capable de balayer une plage d'adresses IP prédéfinies pour trouver les dispositifs répondant sur le port TCP 80 et correspondant à certaines empreintes numériques associées aux périphériques NAS ciblés. Une fois le périphérique vulnérable identifié, le ver lance l'exploit qui lui permet d'obtenir l'accès root et installe un shell interactif. Ensuite, il télécharge et exécute une copie binaire de lui-même et commence le scan du nouveau dispositif. Le chercheur n'a pas rendu public le code du ver, mais il prévoit de le faire plus tard quand les fournisseurs concernés auront corrigé les vulnérabilités, et que les utilisateurs auront eu suffisamment de temps pour faire les mises à jour.

Le chercheur voulait essentiellement montrer qu'il était relativement facile de créer des logiciels malveillants capables de s'auto propager à travers les périphériques NAS. En effet, la plupart de ces systèmes ont la même architecture et partagent un même code fourni par les concepteurs de puces. De plus, selon Jacob Holcomb, certains fabricants réutilisent le code pour des gammes entières de produits, ce qui signifie qu'une vulnérabilité présente dans un NAS très grand public peut aussi se retrouver dans des modèles du même fabricant, beaucoup plus chers, de niveau entreprise. « Dans le cas des périphériques NAS, ce n'est pas parce que le produit coûte plus cher qu'il offre nécessairement une meilleure sécurité », a déclaré le chercheur. 

Déjà plusieurs exploitations à grande échelle

Si le ver de Jacob Holcomb ne fait rien de plus que de se propager dans un réseau local, des attaquants pourraient créer des logiciels malveillants similaires pour compromettre les périphériques NAS accessibles depuis Internet et les utiliser pour lancer des attaques par déni de service distribué (DDoS) et mener d'autres activités malveillantes. « Les NAS sont des appareils très puissants avec beaucoup de capacité de stockage. La palette d'abus par des pirates est donc assez variée », a ajouté le chercheur. Il y a déjà eu plusieurs cas d'exploitation de NAS à grande échelle, comme par exemple, en juin dernier, où des chercheurs de Dell SecureWorks ont rapporté qu'un pirate avait réussi à extorquer plus de 600 000 dollars en monnaie numérique Dogecoin après avoir détourné des NAS Synology. En août également, certains propriétaires de NAS Synology ont indiqué que leurs systèmes avaient été infectés par un programme de chiffrement malveillant appelé SynoLocker, les pirates demandant ensuite des rançons aux victimes en contrepartie du code de déchiffrement de leurs données.

Un NAS compromis peut également servir de base d'attaque pour atteindre d'autres systèmes à partir d'un réseau local. Dans ce cas, le piratage peut avoir lieu de l'intérieur, sans nécessairement passer par Internet. Les attaquants pourraient créer des malwares Windows pour scanner le réseau local, détecter les périphériques NAS vulnérables et les infecter. Ce type d'intrusion serait difficile à détecter, car les périphériques NAS ne sont protégés par aucun logiciel antivirus ou produit de sécurité. Les attaquants peuvent ainsi mettre durablement un pied dans le réseau, même si le malware Windows qui a servi à l'intrusion est ensuite supprimé.