Se ha descubierto una vulnerabilidad no solucionada en varias versiones de discos duros NAS LG. Es uno de los grandes problemas de los NAS, la dificultad práctica para aplicar actualizaciones que solucionen fallos críticos y otra de las razones para pasarse al Cloud.
Los NAS, al ser dispositivos para almecenar en red incluso desde internet, si son víctimas de un agujero de seguridad su corrección puede tardar años. A menos que es el departamento IT de cada empresa el que debe estar al tanto del fallo descubierto y aplicar las medidas correctoras si el fabricante las ha dado. La nube no tiene este problema donde la corrección de un fallo se aplica automáticamente a cada usuario de forma inmediata.
En este caso de ejemplo son varios dispositivos NAS LG que permite comprometer y robar información y datos almacenados en estos discos duros en red.
Descripción del fallo
En el inicio de sesión para la administración remota del dispositivo NAS se valida mal el campo de contraseña. Es un caso típico de Injección de SQL. Y además muy grave, ya que es en el mismo inicio de sesión, donde la seguridad y limpieza de los parámetros es la tabla de 1 de multiplicar de la seguridad.
Con una consola de comandos se puede robar la base de datos entera de usuarios, contraseñas y por tanto poder acceder a los archivos almacenados con cualquier perfil. Y casi mejor creándose un usuario nuevo con todos los permisos y robar … o borrarlo todo. Hay que tener en cuenta que los NAS se suelen usar mucho en las empresas como dispositivos de backups.
Video ejemplo usando la vulnerabilidad:
El fabricante recomienda que se desconecte de la red e internet mientras no esté solucionado.
¿Por qué los datos seguros en la nube no les afecta con tanta criticidad estos problemas de los NAS?
Porque una solución NAS es una solución hardware. Cada usuario de cada empresa se hace responsable de aplicar un parche de vulnerabilidad. Mientras que en la nube, si se detecta un fallo, el proveedor de servicio lo arregla e inmediatamente todos los usuarios ya están protegidos. La empresa que gestiona el NAS, si no está atenta a estos avisos puede que nunca sepa que tiene este agujero de seguridad hasta que ocurra lo peor, le roben información o desaparezca de un día para otro todos los datos de la empresa y sus backups.
Fuentes:
- Critical Vulnerability Found in Majority of LG NAS Devices.
- Fallo de seguridad CRÍTICO sin parchear en dispositivos de almacenamiento LG.
Relacionado: