Vulnerabilidades e sua exploração foram demonstradas pela empresa de segurança cibernética industrial Claroty
Vulnerabilidades críticas descobertas pela empresa de segurança cibernética industrial Claroty em produtos Western Digital (WD) e da Synology, fornecedora de sistemas de armazenamento conectado à rede (NAS) podem ter exposto os arquivos de milhões de usuários.
As vulnerabilidades e sua exploração foram demonstradas em evento da Zero Day Initiative em dezembro do ano passado durante a Pwn2Own, competição anual entre hackers éticos, que acontece desde 2007, realizada em Vancouver, no Canadá, e distribuiu quase US$ 1 milhão em prêmios por hacks a smartphones, impressoras, roteadores, dispositivos NAS e alto-falantes inteligentes.
Ambos os fornecedores lançaram patches — em alguns casos automaticamente — e publicaram avisos para informar os clientes sobre as vulnerabilidades. A Synology lançou um comunicado e a WD publicou três avisos, em dezembro, janeiro e maio.
No caso da WD, os pesquisadores da Claroty encontraram uma maneira de enumerar todos os dispositivos NAS conectados à nuvem, representá-los e obter acesso a cada sistema por meio do serviço MyCloud do fornecedor. Um invasor pode ter explorado as vulnerabilidades para acessar remotamente os arquivos do usuário, executar código arbitrário e assumir o controle total dos dispositivos conectados à nuvem.
“Primeiro, enumeramos todos os dispositivos GUID e escolhemos nossa lista de destino. Em seguida, personificamos o dispositivo, roubando seu túnel de nuvem e desconectando o dispositivo. Quaisquer solicitações feitas ao dispositivo agora chegarão até nós, fornecendo os tokens de autenticação para o administrador do dispositivo”, explicou a Claroty.
A empresa relatou que usando suas permissões recém-conquistadas, criou um novo compartilhamento no dispositivo, mapeando-o para o diretório /tmp. Em seguida, gravou a carga útil do shell reverso nesse diretório e procedeu uma reinicialização por meio da nuvem. Assim, sempre que o dispositivo era reinicializado, a carga útil era executada, resultando na execução do código no dispositivo.
A empresa de segurança cibernética também encontrou vulnerabilidades que permitiram representar dispositivos Synology NAS e forçar o serviço de nuvem QuickConnect a redirecionar os usuários para um dispositivo controlado pelo invasor. Um invasor pode ter aproveitado as falhas para roubar credenciais, acessar dados do usuário e executar códigos arbitrários remotamente, dando a eles controle sobre o dispositivo e a capacidade de lançar novos ataques.
A análise da Claroty mostrou que milhões de dispositivos WD e Synology NAS eram vulneráveis a ataques.
As explorações da WD e da Synology foram possíveis devido à “autenticação fraca do dispositivo com base em informações conhecidas publicamente, em vez de segredos”, e a Claroty acredita que problemas semelhantes provavelmente também afetam os dispositivos de outros fornecedores.A empresa publicou postagens em seu blog separadas descrevendo as vulnerabilidades WD e Synology.
FONTE: CISO ADVISOR