Expertos descubrieron nueve vulnerabilidades que afectan a los dispositivos NAS que podrían ser explotados por atacantes no autenticados para acceder a contenido protegido.
Nueve fallas que afectan a los dispositivos NAS podrían ser explotadas por atacantes no autenticados para acceder a contenido protegido.
Las vulnerabilidades se trazan como CVE-2018-9074, CVE-2018-9075, CVE-2018-9076, CVE-2018-9077, CVE-2018-9078, CVE-2018-9079, CVE-2018-9080, CVE-2018 -9081 y CVE-2018-9082.
Según Lenovo, las fallas afectan a 20 modelos de dispositivos de almacenamiento en red (NAS) vendidos por la empresa, incluidos los dispositivos NAS de marca Lenovo, LenovoEMC e Iomega.
La lista de dispositivos vulnerables incluye ocho modelos LenovoEMC NAS (PX), nueve modelos Iomega StoreCenter (PX y IX) y los dispositivos de la marca Lenovo; ix4-300d, ix2 y EZ Media and Backup Center.
Los defectos se han descubierto como parte de un proyecto de investigación realizado por ISE Labs centrado en la seguridad de los dispositivos integrados.
La mayoría de los dispositivos auditados por los investigadores se vieron afectados por algún tipo de vulnerabilidad de inyección de comando del sistema operativo que podría ser explotada por atacantes remotos para controlar el sistema de destino a través del shell raíz.
Al encadenar diferentes vulnerabilidades, es posible obtener acceso total al dispositivo; los expertos notaron, por ejemplo, que la disponibilidad del token de acceso del usuario y un identificador similar a una cookie de sesión ("parámetro __c") podrían permitir a los atacantes alcanzar la meta. Un escenario de ataque típico para obtener esta información hace que los atacantes atraigan a un usuario de NAS autenticado engañándolo para que visite un sitio web malicioso especialmente diseñado.
“Si queremos explotar esta inyección de comando del sistema operativo, vamos a necesitar averiguar cómo se generan estos tokens o el acceso al token iomegaUserCookie (__c) de la víctima. "Siempre que pienso en robar algún tipo de valor almacenado en el navegador del usuario, pienso en scripts entre sitios (XSS)", afirma el investigador.
Los expertos encontraron una vulnerabilidad de scripts entre sitios que les permitió acceder a la información, y luego utilizaron los datos del navegador almacenados para ejecutar comandos en los dispositivos vulnerables.
Una vez obtenido el token de acceso al NAS de un objetivo y el "parámetro _c", es posible apuntar al dispositivo de almacenamiento al conocer su dirección IP estática, una broma para los atacantes.
Resumiendo, encadenando la vulnerabilidad de inyección de comandos con problemas de escalamiento de privilegios, el atacante podría ejecutar comandos en los dispositivos en nombre de usuarios legítimos.
Los expertos informaron las vulnerabilidades a Lenovo el 3 de agosto y la compañía emitió parches para sistemas vulnerables el 20 de septiembre y reveló públicamente las vulnerabilidades el 30 de septiembre.
La lista de CVE incluye: CVE-2018-9074, CVE-2018-9075, CVE-2018-9076, CVE-2018-9077, CVE-2018-9078, CVE-2018-9079, CVE-2018-9080, CVE- 2018-9081 y CVE-2018-9082.
Lenovo confirmó que las versiones de firmware 4.1.402.34662 y anteriores son vulnerables, los usuarios deben descargar la versión de firmware 4.1.404.34716 (o posterior).
La compañía sugiere eliminar cualquier recurso compartido público y usar el dispositivo solo en redes confiables en caso de que no sea posible actualizar el firmware de inmediato.
Fecha actualización el 2021-10-05. Fecha publicación el 2018-10-05. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs