Una revisión de seguridad de dispositivos de almacenamiento conectados en red (NAS por sus siglas en inglés), de múltiples fabricantes, reveló que por lo general tienen más vulnerabilidades que los routers domésticos, éstos últimos conocidos por su falta de seguridad y por su código vulnerable.

Jacob Holcomb, colaborador de Evaluadores de Seguridad Independientes con sede en Baltimore, está en el proceso de análisis de los dispositivos NAS de 10 fabricantes y hasta ahora ha encontrado vulnerabilidades que pueden llegar a comprometerlos totalmente.

"No hubo un sólo dispositivo, literalmente, del que yo no pudiese tomar el control" mencionó Holcomb el miércoles durante una charla en la conferencia BlackHat celebrada en las vegas, donde él presentó algunos de sus hallazgos preliminares. "Al menos 50 por ciento de las vulnerabilidades pueden ser aprovechadas sin autenticación".

Los dispositivos que él evaluó fueron: AS-602T de Asustor, TRENDnet TN-200 y TN-200T1, QNAP TS-870, Seagate BlackArmor 1BW5A3-570, Netgear ReadyNAS104, D-LINK DNS-345, Lenovo IX4-300D, Buffalo TeraStation 5600, Western Digital MyCloud EX4 y ZyXEL NSA325 v2.

Hasta ahora, la organización de seguridad MITRE ha asignado 22 identificadores CVE (Common Vulnerabilities and Exposures) para las fallas que el investigador ha encontrado, pero el proyecto acaba de empezar y se espera encontrar muchos más antes de fin de año. Estos dispositivos son mucho peores que los routers, dijo el especialista.

Holcomb condujo un estudio similar el año pasado donde indentificó más de 50 vulnerabilidades en routers populares SOHO. Espera que, para cuando el acabe el nuevo proyecto, el número de vulnerabilidades identificadas en los sistemas NAS excedan por mucho a las encontradas en los routers.

El tipo de problemas que se encontró en los sistemas NAS incluye la inyección de comandos, cross-site-forgery, desbordamiento de buffer, problemas de autenticación y fallas de autenticación, divulgación de información, cuentas de puertas traseras, administración deficiente de sesiones y directory transversal. Combinando algunas de éstas vulnerabilidades, los atacantes pueden obtener acceso a un "shell de root" en los dispositivos, permitiéndoles ejecutar comandos con los privilegios más altos.

Holcomb demostró estos ataques durante su presentación en BlackHat en los dispositivos D-Link, Netgear, Bufalo y TRENDnet. También pudo obtener una cuenta oculta en el dispositivo Seagate y pudo determinar la generación de la cookie del producto Asustor.

Todas las vulnerabilidades encontradas han sido reportadas a los fabricantes, pero la divulgación de las actualizaciones pude tardar meses, mencionó Holcomb. Los temas presentados en BlackHat todavía no han sido solucionados, por lo tanto pueden considerarse como de dia cero, mencionó.