Przetestowano następujące urządzenia: Asustor AS-602T, TRENDnet TN-200, TRENDnet TN-200T1, QNAP TS-870, Seagate BlackArmor 1BW5A3-570, Netgear ReadyNAS104, D-LINK DNS-345, Lenovo IX4-300D, Buffalo TeraStation 5600, Western Digital MyCloud EX4 i ZyXEL NSA325 v2.

Firma zaprezentowała w zeszłym tygodniu w Amsterdamie (na konferencji Black Hat Europe) aplikację proof-of-concept, która była w stanie infekować automatycznie serwery D-LINK DNS-345, TRENDnet TN-200/TN-200T1 i Western Digital MyCloud EX4. Było to możliwe dzięki temu, że aplikacja w umiejętny sposób omijała mechanizm uwierzytelniania albo włamywała się wykorzystując do tego celu metodę znaną pod nazwą „command injection”. Informatycy stwierdzili jednocześnie, że według ich wiedzy dziury umożliwiające takie włamania nie zostały do tej pory w tych urządzeniach załatane.

Zobacz również:

• Cyberobrona? Mamy w planach
• Wielka inwestycja Atmana w przetwarzanie danych

Aplikacja pracuje w ten sposób, że skanuje określone adresy IP i wyszukuje urządzenia odpowiadające na żądania wysyłane do portu TCP oznaczonego numerem 80 w sposób zgodny z jej oczekiwaniami. Następnie aplikacja wysyła do takiego urządzenia odpowiednio spreparowany malware, który umożliwia jej przejęcie nad nim kontroli. Aplikacja tworzy też na zaatakowanym urządzeniu swoją replikę, która zaczyna skanować sieć w poszukiwaniu kolejnej ofiary.

Twórcy szkodliwej aplikacji nie udostępnili jej kodu obiecując jedynie, że uczynią to dopiero wtedy, gdy producenci serwerów załatają w nich dziury umożliwiające przeprowadzanie takich ataków. Ostrzegli też, że producenci serwerów NAS często powielają oprogramowanie które nimi zarządza, przenosząc je bez żadnych zmian do swoich innych urządzeń tego typu, także tych należących do klasy „enterprise”.

Opracowana przez informatyków aplikacja proof-of-concept atakowała urządzanie zainstalowane w lokalnej sieci komputerowej, ale zapewniają, że w każdej chwili mogą stworzyć podobny malware, który może być użyty do atakowania urządzeń z Internetu lub przeprowadzania ataków typu DDoS.

Warto przypomnieć, że kilka miesięcy temu firma Synology potwierdziła, że szereg jej serwerów NAS zostało zaatakowanych przez groźny malware SynoLocker, który szyfruje pliki i następnie żąda od właściciela serwera pieniędzy w zamian za ich odszyfrowanie. Sprawa wymaga uwagi, gdyż dziury istniejące w serwerach NAS są trudne do wykrycia, a ataki na nie są trudne do wychwycenia, ponieważ w urządzeniach tego rzadko instalowane są narzędzia wspierające takie opcje.