Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Failles dans un firmware NAS : les utilisateurs exposés à des risques considérables

janvier 2017 par F-Secure

En analysant un NAS (Network Attached Storage, Serveur de stockage en réseau) fabriqué par QNAP, les chercheurs F-Secure ont mis à jour trois vulnérabilités, pouvant être exploitées par des pirates pour prendre le contrôle de ces appareils. De tels résultats pourraient se retrouver au sein de millions d’appareils et témoignent d’une tendance générale à la fabrication de produits trop peu sécurisés, exposant leurs utilisateurs aux cyber menaces.

Les chercheurs ont révélé trois vulnérabilités lors de l’examen du NAS QNAP TVS-663. Les pirates peuvent les exploiter pour détourner le processus de mise à jour du firmware, afin de disposer de droits administrateurs. Ils sont alors à même d’installer des malware, d’avoir accès aux données, de disposer des mots de passe stockés et d’exécuter des commandes à distance.

Harry Sintonen, Senior Security Consultant chez F-Secure, a développé un exploit permettant de confirmer que ces failles pouvaient être exploitées par des pirates. « Ces vulnérabilités ne sont pas nécessairement dangereuses en soi. Mais les pirates peuvent, en les utilisant toutes à la fois, causer des dégâts considérables », affirme-t-il. « Les plus doués savent que même les plus petites vulnérabilités peuvent constituer pour eux de vraies mines d’or, lorsqu’ils déploient le savoir-faire adéquat. »

Tout débute lorsque l’appareil envoie une requête de mise à jour à l’entreprise. L’absence de chiffrement permet à des pirates potentiels d’intercepter et de modifier la réponse à cette requête. Harry Sintonen a tiré profit de cette faille avec un exploit déguisé en mise à jour de firmware. Cette fausse mise à jour a trompé l’appareil, qui a immédiatement tenté d’installer la mise à jour. Aucune mise à jour n’est installée mais l’exploit est alors à même de compromettre le système.

Pour Harry Sintonen, le vol et l’altération de données est, dans un tel cadre, tout à fait accessible aux pirates expérimentés. « Tout ce qu’ils ont à faire, c’est informer l’appareil qu’une nouvelle version du firmware est disponible. Et dans la mesure où cette requête de mise à jour se fait sans chiffrement, cela n’est pas très difficile. Ensuite, le hacker peut faire ce qui lui chante, c’est un jeu d’enfant. »

Harry Sintonen a limité ses recherches au QNAP TVS-663 mais il suspecte tous les modèles utilisant le même firmware de présenter les mêmes problèmes. Il estime ainsi à 1,4 million le nombre d’appareils vulnérables, et affirme que ce chiffre pourrait être bien plus important.

« D’après nos recherches, 1,4 millions d’appareils seraient concernés. Mais dans la mesure où de nombreux utilisateurs ne mettent jamais à jour leur firmware, ce chiffre pourrait être encore bien plus important. Il peut s’élever à plusieurs millions. »

Recommandations aux utilisateurs affectés

F-Secure a informé QNAP de ces problèmes en février 2016 mais à ce jour, les chercheurs F-Secure n’ont pas eu connaissance de l’existence d’un patch destiné à corriger ces vulnérabilités. Sans un correctif publié par QNAP, il n’existe aucune manière de sécuriser les appareils infectés de manière durable.

Janne Kauhanen, Cyber Security Expert chez F-Secure, relativise malgré tout l’impact de ces vulnérabilités : « Des problèmes comme celui-ci sont devenus relativement communs pour les objets connectés. Nous achetons tous en permanence des produits qui ne sont pas correctement sécurisés. Dans le cas présent, les pirates doivent, avant toute chose, se glisser entre le serveur de mises à jour et l’utilisateur...et cette étape peut être assez technique, et ainsi dissuader les pirates les moins tenaces », explique-t-il. « Mais nous avons déjà vu des pirates utiliser des failles similaires dans le cadre d’une phase de reconnaissance pour une campagne de phishing, ou pour dissimuler leur présence sur un réseau. »

En attendant un correctif, les utilisateurs disposent de certains moyens de protection temporaires. Les utilisateurs du QNAP TVS-663 et d’autres appareils utilisant le même firmware (QTS firmware 4.2 ou supérieur) peuvent désactiver la mise à jour automatique et rechercher par ailleurs une version plus sécurisée. Janne Kauhanen recommande à tous ceux qui utiliseraient cet appareil dans le cadre de leur activité professionnelle ou pour des tâches impliquant la manipulation de données sensibles de rapidement mettre en place ces mesures afin d’être protégés.

QNAP et les autorités compétentes ont été prévenus de l’existence de ces vulnérabilités avant la publication de ce communiqué.




Voir les articles précédents

    

Voir les articles suivants