Des failles dans un firmware NAS pouvaient être utilisées pour “hacker” des millions d’appareils

0

Les chercheurs F-Secure ont mis à jour trois vulnérabilités, trouvés dans un serveur de stockage en réseau fabriqué par QNAP,  pouvant être exploitées par des pirates pour prendre le contrôle de ces appareils. Les vulnerabilités pourraient, selon affirme l’entrerprise, « se retrouver au sein de millions d’appareils et témoignent d’une tendance générale à la fabrication de produits trop peu sécurisés, exposant leurs utilisateurs aux cyber menaces ».

Les chercheurs ont révélé trois vulnérabilités lors de l’examen du NAS QNAP TVS-663. Les pirates peuvent les exploiter pour détourner le processus de mise à jour du firmware, afin de disposer de droits administrateurs. « Ils sont alors à même d’installer des malware, d’avoir accès aux données, de disposer des mots de passe stockés et d’exécuter des commandes à distance » assurent dès F-Secure.

Tout débute lorsque l’appareil envoie une requête de mise à jour à l’entreprise. L’absence de chiffrement permet à des pirates potentiels d’intercepter et de modifier la réponse à cette requête. Harry Sintonen, Senior Security Consultant chez F-Secure, a développé un exploit POC (un code qui utilise les vulnérabilités pour compromettre le système) afin de s’assurer que les vulnérabilités pouvaient être utilisées pour “hacker” l’appareil. Il a tiré profit de cette faille avec un exploit déguisé en mise à jour de firmware. Cette fausse mise à jour a trompé l’appareil, qui a immédiatement tenté d’installer la mise à jour. Aucune mise à jour n’est installée mais l’exploit est alors à même de compromettre le système.

Suite aux problèmes rencontrés par la machine pour se mettre à jour (comme une absence de chiffrement sur les demandes de mises-à-jour), l’exploit permet alors de confirmer que « Ces vulnérabilités ne sont pas nécessairement dangereuses en soi. » Il n’a pas essayé d’aller plus loin. Mais un hacker l’aurait fait.

Quelques fois, des dégâts considérables sont causés par les pirates en utilisant les plus petites vulnérabilités, car, avec le savoir-faire adéquat, elles peuvent constituer pour eux de vraies mines d’or. Après avoir pris le contrôle de l’apapreil, un attaquant aurait pu par exemple accéder à des données stockées, voler des mots de passe, ou même exécuter des commandes (par exemple, demander à l’appareil de télécharger des malware).

Pour Harry Sintonen, le vol et l’altération de données est, dans un tel cadre, tout à fait accessible aux pirates expérimentés. « Tout ce qu’ils ont à faire, c’est informer l’appareil qu’une nouvelle version du firmware est disponible. Et dans la mesure où cette requête de mise à jour se fait sans chiffrement, cela n’est pas très difficile. Ensuite, le hacker peut faire ce qui lui chante, c’est un jeu d’enfant. »

Harry Sintonen a limité ses recherches au QNAP TVS-663 mais il suspecte tous les modèles utilisant le même firmware de présenter les mêmes problèmes. Il estime ainsi à 1,4 million le nombre d’appareils vulnérables, et affirme que ce chiffre pourrait être bien plus important car ce type de problème est monnaie courante dans les objets connectés.

Les appareils connectés se multiplient. Tout comme les problèmes de sécurité.

F-Secure a informé QNAP de ces problèmes en février 2016 mais à ce jour, ils n’ont pas eu connaissance de l’existence d’un patch destiné à corriger ces vulnérabilités. Sans un correctif publié par QNAP, il n’existe aucune manière de sécuriser les appareils infectés de manière durable.

“C’est tout bonnement incroyable de constater à quel point les appareils vendus ne sont pas protégés” déclarait Janne Kauhanen, Cyber Security Expert chez F-Secure, à l’époque. “D’autres sociétés de sécurité informatique et nous-mêmes trouvons des failles de sécurité dans les appareils en permanence. Les firmware utilisés dans les routers et l’Internet des Objets sont négligés par les constructeurs et leurs clients – bref, tout le monde sauf les hackers, qui utilisent les vulnérabilités pour s’introduire dans le réseau, voler des informations et répandre des malware.”

Comment pouvez-vous proteger ?

En attendant un correctif, les utilisateurs disposent de certains moyens de protection temporaires. Les utilisateurs du QNAP TVS-663 et d’autres appareils utilisant le même firmware (QTS firmware 4.2 ou supérieur) peuvent désactiver la mise à jour automatique et rechercher par ailleurs une version plus sécurisée.

Janne Kauhanen recommande à tous ceux qui utiliseraient cet appareil dans le cadre de leur activité professionnelle ou pour des tâches impliquant la manipulation de données sensibles de rapidement mettre en place ces mesures afin d’être protégés.

About Author

Globb Security France

Leave A Reply