W styczniu 2017 roku firma F-Secure przedstawiła wyniki badań poświęconych licznym lukom w zabezpieczeniach, które odkryto w dyskach NAS firmy QNAP. Od tego czasu zidentyfikowano nowe, znacznie poważniejsze problemy związane z podatnością w oprogramowaniu urządzeń sieciowych tego producenta. Luki w oprogramowaniu umożliwiają uzyskanie dostępu do dowolnych danych, które są przechowywane w pamięci, blokowanie użytkowników (łącznie z właścicielem), wykorzystanie urządzenia do
dalszych ataków i wykonywanie innych operacji.
– Odkryte poprzednio luki narażały posiadaczy dysków NAS na atak w momencie przeprowadzania aktualizacji oprogramowania. Haker musiałby wtedy przesłać do urządzenia exploit podszywający się pod nową wersję firmware’u. Było to wystarczająco trudne, żeby zniechęcić cyberprzestępców do przeprowadzania ataków na dużą skalę – mówi Harry Sintonen, starszy konsultant w F-Secure. – Niestety, nowo odkryte luki umożliwiają zdalne przejęcie kontroli nad urządzeniem poprzez tak zwane „wstrzykiwanie poleceń”. Atakujący może wtedy przekazywać polecenia do wykonania przez urządzenie NAS – dodaje Sintonen.
Podatne dyski NAS dają napastnikom okazję do wykazania się znacznie większą kreatywnością.
– Urządzenia pamięciowe tego typu mogą działać jak serwer sieciowy – mówi Janne Kauhanen, ekspert ds. cyberbezpieczeństwa z F-Secure. – Cyberprzestępca może zapisać w urządzeniu dowolne dane i uruchomić każdy rodzaj usługi, od sklepu internetowego sprzedającego podejrzane towary do ofensywnej platformy umożliwiającej dokonywanie dalszych ataków. Odpowiedzialność za atak może być wówczas przypisana do właściciela urządzenia. Haker może również umieścić na dysku NAS kompromitujące materiały i wykorzystać je do szantażowania użytkownika – dodaje Kauhanen.
Testy przeprowadzano na dysku NAS QNAP TVS-663. Luki w zabezpieczeniach dotyczą oprogramowania działającego również na routerach, kamerach i innych niedrogich urządzeniach, które łączą się z internetem – w tym przypadku chodzi o wersję QTS 4.2.3. Harry Sintonen znalazł niemal 90 000 urządzeń, które jego zdaniem mogą być podatne na atak. Ograniczył jednak wyszukiwanie do tych, które akurat były dostępne w sieci, więc liczba ta może być wyższa.
Mikael Albrecht, badacz pracujący w F-Secure i właściciel sprzętu firmy QNAP, uważa, że niezabezpieczone serwery NAS stanowią dużo większy problem, niż inne urządzenia łączące się z internetem.
– Przywykłem do problemów z bezpieczeństwem gadżetów IoT, ale niezabezpieczony serwer NAS to znacznie poważniejsza sprawa. W urządzeniu tym znajduje się większość cyfrowych treści, które wyprodukowałem przez całe swoje życie. Na szczęście QNAP ma dobrą procedurę dystrybuowania aktualizacji i robi to dość często – mówi Mikael Albrecht.
Firma QNAP naprawiła już usterkę i wypuściła zaktualizowaną wersję narażonego oprogramowania. Według raportu Harry’ego Sintonena, producent rozwiązał problem dość szybko i zareagował znacznie lepiej, niż inni dostawcy urządzeń, którym zarzucono problemy z bezpieczeństwem ich produktów. W razie posiadania urządzenia NAS firmy QNAP zalecana jest aktualizacja do najnowszej wersji oprogramowania.