Тысячи NAS компании Lenovo были доступны любому желающему из-за бага

Специалисты Vertical Structure и WhiteHat Security обнаружили, что неавторизованные атакующие могли иметь доступ  к файлам, хранившимся на устройствах NAS Iomega (LenovoEMC).

По данным Shodan, по состоянию на осень 2018 года, в сети можно было обнаружить 5114 уязвимых устройств, хранящих более 3 000 000 файлов (в том числе около 20 000 документов, 13 000 электронных таблиц, 13 000 текстовых файлов и 405 000 изображений). Разумеется, в некоторых из этих файлов можно найти конфиденциальную информацию, включая номера платежных карт и финансовые записи.

Исследователи предупреждают, что фактическое количество уязвимых систем, может быть выше, поскольку 5114 устройств — это только те, NAS, которые были обнаружены и проиндексированы.

Выявленная экспертами проблема получила идентификатор CVE-2019-6160 и могла использоваться удаленным злоумышленником, не прошедшим аутентификацию и без какого-либо пароля, для получения доступа к файлам, хранящимся на устройствах. Для этого требовалось лишь отправить специально подготовленный запрос API.

«API не нужно никакой аутентификации, и он предоставляет возможность удаленного просмотра, доступа и извлечения файлов самым тривиальным способом. Это можно сравнить с обнаружением миллионов открытых бакетов S3», — рассказывают исследователи.

Специалисты уже сообщили о проблеме представителями Lenovo, и инженеры компании отозвали из обращения три версии уязвимых версии прошивок и выпустили обновления для затронутых устройств.

Согласно официальному бюллетеню безопасности, уязвимость представляла угрозу для следующих устройств:

  • px12-350r и ix12-300r, версия прошивки 4.0.24.34808;
  • HMNHD (Home Media Network Hard Drive) Cloud Editiond, версия прошивки 3.2.16.30221;
  • StorCenter ix2-200, Cloud Edition, версия прошивки 3.2.16.30221;
  • StorCenter ix4-200d, Cloud Edition, версия прошивки 3.2.16.30221;
  • StorCenter ix2-200, версия прошивки 2.1.50.30227;
  • StorCenter ix4-200d, версия прошивки 2.1.50.30227;
  • StorCenter ix4-200rl, версия прошивки 2.1.50.30227.
Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.