یک آسیب‌پذیری وصله‌نشده، دستگاه‌های NAS ال‌جی را در معرض حملاتِ راه دور قرار می‌دهد

 

محققان ادعا می کنند که نفوذگران یک آسیب پذیری وصله نشده ی تزریق دستور را برای در دست گرفتن کنترل دستگاه های ذخیره ساز متصل به شبکه (NAS) ال جی، از راه دور مورد بهره برداری قرار داده اند. کارشناسان شرکت vpnMentor متوجه شدند که بسیاری از مدل های دستگاه های NAS ال جی، تحت تاثیر یک آسیب پذیری قرار گرفته اند که می تواند بدون هیچ احراز هویتی مورد بهره برداری قرار گیرد.


به گفته‌ی محققان، پارامتر پسورد در صفحه‌ی ورود به سیستم، نسبت به تزریق دستور آسیب‌پذیر است. مهاجم می‌تواند از آسیب‌پذیری این پارامتر، برای اجرای دستورات دلخواه، از جمله اضافه کردن یک حساب کاربری جدید و دسترسی به پایگاه داده حاوی نام‌های کاربری و پسوردهای موجود، بهره‌برداری کند.


اضافه کردن یک نام کاربری جدید و یک مقدار درهم‌سازی پسورد، به مهاجم اجازه می‌دهد تا به‌عنوان یک کاربر تاییدشده به صفحه‌ی مدیریت وارد شده و به تمام فایلهای ذخیره‌شده بر روی دستگاه دسترسی پیدا کند. شرکت vpnMentor اعلام کرد حملاتی که در آن‌ها از این آسیب‌پذیری بهره‌برداری می‌شود، می‌توانند هم از طریق شبکه‌ی محلی و هم از طریق اینترنت راه‌اندازی شوند. این شرکت می‌گوید تعیین دقیق تعداد دستگاه‌هایی که از طریق اینترنت در برابر این حملات آسیب‌پذیر هستند، دشوار است، اما حدود ۵۰ هزار دستگاه تخمین زده می‌شود.


شرکت vpnMentor به‌صورت تصادفی اکثر مدل‌های دستگاه‌های NAS ال‌جی را آزمایش کرده و مشاهده کرد که تمام‌آن‌ها به‌ظاهر آسیب‌پذیر هستند. این شرکت می‌گوید، ال‌جی در تمام محصولات NAS خود، از دو نوع ثابت‌افزار استفاده می‌کند که یکی از آن‌ها تحت تاثیر این آسیب‌پذیری قرار گرفته است. در حال حاضر، کد اثبات مفهومی (PoC) این آسیب‌پذیری منتشر شده است.


شرکت vpnMentor ادعا می‌کند با این‌که این حفره‌ی امنیتی را به ال‌جی گزارش کرده است، اما این غول فناوری هنوز پاسخی نداده و وصله‌ای را نیز منتشر نکرده است. این اولین بار نیست که محققان در محصولات NAS ال‌جی، آسیب‌پذیری‌های جدی پیدا کرده‌اند. چند سال پیش نیز محققان مجارستانی محصول N1A1 ال‌جی را مورد تجزیه‌ و تحلیل قرار داده و آسیب‌پذیری‌های متعددی را کشف کرده بودند. این آسیب‌پذیری‌ها می‌توانستند برای به‌دست آوردن دسترسی مدیریتی به دستگاه‌ها مورد بهره‌برداری قرار بگیرند.

 

منبع

Related posts

Leave a Comment

ده − نه =