Security Week 2445: zero-click-уязвимость в NAS-устройствах Synology

Security Week 2445: zero-click-уязвимость в NAS-устройствах Synology
На прошлой неделе компания Synology, производитель популярных сетевых накопителей данных, выпустила обновление утилиты Synology Photos, закрывающее серьезную уязвимость. В случае если NAS доступен из Интернета и данная утилита на нем установлена, потенциальный злоумышленник может получить root-доступ. Какие-либо действия со стороны пользователя не требуются.


Уязвимость была обнаружена нидерландскими исследователями из компании Midnight Blue в ходе конкурса Pwn2Own в Ирландии. По утверждению экспертов, на обнаружение уязвимости они потратили всего пару часов. Надо отметить, что и патч был выпущен производителем оперативно, через два дня после сообщения об уязвимости. Технических деталей и в отчете Midnight Blue, и в публикациях СМИ практически нет, их не разглашают, чтобы не подвергать клиентов Synology дополнительному риску. Но в публикации исследователей раскрывается интересный и необычный канал утечки информации об устройствах NAS через сервис Let's Encrypt.

Synology Photos — довольно обыденное веб-приложение, позволяющее владельцам NAS-устройств работать с фотографиями: загружать их на устройство, просматривать галереи в браузере, делиться ими с друзьями и родственниками. Для линейки устройств Synology DiskStation это опциональная фича, при необходимости приложение требуется устанавливать вручную. Но у того же производителя есть бюджетная серия BeeStation, представляющая собой, по сути, внешний жесткий диск с сетевым интерфейсом. И вот там точно такое же приложение (правда, названное по-другому, BeePhotos) установлено и активировано по умолчанию.

Все, что известно про уязвимость на момент подготовки материала: с ее помощью любой желающий может получить на устройстве права суперпользователя, а для эксплуатации не требуется авторизация. Единственное требование — принципиальная доступность фотосервиса из Интернета. Для этого либо сам пользователь должен открыть для доступа соответствующие порты (упоминаются порты 5000 и 5001), либо воспользоваться фичей QuickConnect.

QuickConnect обеспечивает доступ к NAS Synology без настройки роутера. Владелец сетевого хранилища обращается к серверу-посреднику, и уже через него обеспечивается обмен данными с устройством. Любопытная деталь данного инцидента заключается в том, что для работы фичи QuickConnect для каждого устройства запрашивается сертификат на бесплатном сервисе Let's Encrypt. В соответствии с принципами работы этого сервиса, все выданные сертификаты доступны публично, что позволяет создать базу данных из NAS Synology с прямым уникальным адресом для доступа к каждому устройству.


Исследователи из Midnight Blue таким образом получили список из миллионов устройств, из которых 80% отвечали на запросы, и половина из них имела уязвимую утилиту для работы с фотографиями. По именам устройств, задаваемых пользователями, можно сделать вывод о том, где они эксплуатируются. Авторам отчета попадались полицейские участки, юридические фирмы, промышленные предприятия и другие организации, хранящие чувствительную информацию на устройствах Synology. Такая особенность в комбинации с серьезной уязвимостью превращается в крайне неприятную ситуацию для клиентов компании. Впрочем, надо отметить, что и без «утечки» через Let's Encrypt идентифицировать уязвимые устройства вполне возможно, путем сканирования адресного пространства в сети.

В данном случае нет свидетельств того, что уязвимость эксплуатируется злоумышленниками. В компании Midnight Blue, впрочем, отмечают, что и доказать факт любого взлома устройства Synology будет нелегко, из-за недостаточно развитых инструментов сбора телеметрии. Устройства NAS тем временем периодически подвергаются атакам с шифрованием данных и последующим вымогательством. С учетом этого критически важным является своевременная установка обновлений, желательно — в автоматическом режиме. Во всех подобных случаях помогает изоляция устройства от доступа извне, но во многих сценариях использования этот вариант попросту неудобен.

Что еще произошло


Эксперты «Лаборатории Касперского» подробно разбирают относительно свежий тип вредоносных атак — поддельную капчу. В самом безобидном случае пользователей «для верификации» просят отсканировать QR-код, который отправляет их на сайт для нагона трафика. Более опасный сценарий — «капча с инструкциями», как показано на примере выше. Здесь используется популярный в последнее время трюк, когда жертву просят открыть командную строку и вставить инструкцию, скопированную в буфер обмена. Результат — установка вредоносного ПО для кражи персональных данных или хищения криптовалют.

Еще одна публикация экспертов «Лаборатории Касперского» демонстрирует примеры использования ИИ для генерации текста в киберкриминальных кампаниях. Метод обнаружения таких текстов был использован достаточно простой и эффективный — по типичным ответам ИИ-помощников, которые вставляются во вредоносные сайты по недосмотру. Классический пример — фраза «As an AI language model...».

Исследователи из команды Google Project Zero утверждают, что обнаружили первую серьезную уязвимость при помощи автоматизированной системы поиска с использованием алгоритмов искусственного интеллекта.

Важное событие прошлой недели — публикация отчета компании Sophos об атаках на собственные сетевые устройства. В ходе расследования компания провела контратаку, обеспечив расширенный сбор информации с устройств, которые использовались для поиска и тестирования новых эксплойтов.

Разработчики менеджера паролей LastPass предупреждают пользователей о новой атаке с использованием поддельной службы техподдержки. В отзывах к официальному расширению LastPass для браузера Google Chrome указывается номер телефона поддержки, который на самом деле не принадлежит компании. Если позвонить по нему, вам предложат перейти на веб-страницу, с которой распространяется вредоносное программное обеспечение.

Досадная ошибка была на прошлой неделе исправлена в сервисе аутентификации Okta. Если длина имени пользователя была больше 52 символов, он мог успешно залогиниться без пароля. Ошибка, связанная с алгоритмом хеширования комбинации User ID + логин + пароль, появилась в июле этого года.

В IP-видеокамерах Hikvision закрыта уязвимость , из-за которой данные для доступа к сервисам Dynamic DNS передавались открытым текстом.

В популярном bittorrent-клиенте qBittorrent закрыта уязвимость, теоретически обеспечивающая возможность проведения атак типа Man-in-the-Middle. Проблема, связанная с некорректной валидацией SSL-сертификатов, присутствовала в клиенте с 2010 года.

Издание BleepingComputer сообщает о новой тактике банковского трояна для Android, который пытается перехватывать телефонные звонки пользователя в банк, перенаправляя их на собственный кол-центр для развития атаки.
synology
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!