Vulnerabilidades críticas descobertas pela IoT e pela empresa de segurança cibernética industrial Claroty em produtos Western Digital (WD) e armazenamento conectado à rede (NAS) da Synology podem ter exposto os arquivos de milhões de usuários.
As vulnerabilidades e sua exploração foram demonstradas no concurso de hackers Pwn2Own Toronto da Zero Day Initiative em dezembro de 2022, onde os participantes ganharam um total de quase US$ 1 milhão por hackear smartphones, impressoras, roteadores, dispositivos NAS e alto-falantes inteligentes.
Ambos os fornecedores lançaram patches (em alguns casos automaticamente) e publicaram avisos para informar os clientes sobre as vulnerabilidades. Synology lançou um consultivo e a WD publicou três avisos, em dezembro, Janeiro e Poderia.
No caso da WD, os pesquisadores da Claroty encontraram uma maneira de enumerar todos os dispositivos NAS conectados à nuvem, representá-los e obter acesso a cada sistema por meio do serviço MyCloud do fornecedor. Um invasor pode ter explorado as vulnerabilidades para acessar remotamente os arquivos do usuário, executar código arbitrário e assumir o controle total dos dispositivos conectados à nuvem.
“Primeiro, enumeramos todos os dispositivos GUID e escolhemos nossa lista de destino. Em seguida, personificamos o dispositivo, roubando seu túnel de nuvem e desconectando o dispositivo. Quaisquer solicitações feitas ao dispositivo agora chegarão até nós, fornecendo os tokens de autenticação para o administrador do dispositivo”, explicou Claroty.
Ele acrescentou: “Usando nossas permissões recém-conquistadas, criamos um novo compartilhamento no dispositivo, mapeando-o para o diretório /tmp. Em seguida, gravamos nossa carga útil do shell reverso nesse diretório e invocamos uma reinicialização por meio da nuvem. Sempre que o dispositivo for reinicializado, nossa carga útil será executada, resultando na execução do código no dispositivo.”
A empresa de segurança cibernética também encontrou vulnerabilidades que permitiram representar dispositivos Synology NAS e forçar o serviço de nuvem QuickConnect a redirecionar os usuários para um dispositivo controlado pelo invasor.
Um invasor pode ter aproveitado as falhas para roubar credenciais, acessar dados do usuário e executar códigos arbitrários remotamente, dando a eles controle sobre o dispositivo e a capacidade de lançar novos ataques.
A análise da Claroty mostrou que milhões de dispositivos WD e Synology NAS eram vulneráveis a ataques.
As explorações da WD e da Synology foram possíveis devido à “autenticação fraca do dispositivo com base em informações conhecidas publicamente, em vez de segredos”, e a Claroty acredita que problemas semelhantes provavelmente também afetam os dispositivos de outros fornecedores.
A empresa publicou postagens de blog separadas descrevendo as vulnerabilidades e.
: