Défaut RCE non corrigé divulgué dans les dispositifs de stockage réseau LG

Si vous avez installé un périphérique de stockage connecté au réseau fabriqué par LG Electronics, vous devez le retirer immédiatement, lire attentivement cet article et prendre les mesures appropriées pour protéger vos données sensibles.

Un chercheur en sécurité a révélé des détails techniques complets sur une vulnérabilité d’exécution de commande à distance critique non corrigée dans divers modèles d’appareils LG NAS qui pourraient permettre aux pirates de compromettre des appareils vulnérables et de voler des données stockées sur eux.
Le périphérique Network Attached Storage (NAS) de LG est une unité de stockage de fichiers dédiée connectée à un réseau permettant aux utilisateurs de stocker et de partager des données avec plusieurs ordinateurs. Les utilisateurs autorisés peuvent également accéder à leurs données à distance via Internet.

La vulnérabilité a été découverte par le chercheur de VPN Mentor, la firme de défense de la vie privée, la même société qui a révélé le mois dernier de graves failles dans trois VPN populaires - HotSpot Shield, PureVPN et Zenmate.
La faille LG NAS est une vulnérabilité d’injection de commande à distance pré-authentifiée, due à une mauvaise validation du paramètre "password" de la page de connexion utilisateur pour la gestion à distance, permettant aux attaquants distants de passer des commandes système arbitraires.

Comme l’ont démontré les chercheurs dans la vidéo suivante, les pirates peuvent exploiter cette vulnérabilité pour écrire d’abord un simple shell persistant sur les périphériques de stockage vulnérables connectés à Internet.
À l’aide de ce shell, les pirates peuvent ensuite exécuter facilement plus de commandes, dont l’une pourrait également leur permettre de télécharger la base de données complète des périphériques NAS, y compris les e-mails des utilisateurs, les noms d’utilisateur et les mots de passe hachés MD5.
Puisque les mots de passe protégés par la fonction de hachage cryptographique MD5 peuvent facilement être piratés, les attaquants peuvent obtenir un accès autorisé et voler les données sensibles des utilisateurs stockées sur les périphériques vulnérables.
Dans le cas où les attaquants ne veulent pas pirater le mot de passe volé, ils peuvent simplement exécuter une autre commande, comme indiqué, pour ajouter un nouvel utilisateur à l’appareil, et se connecter avec ces informations d’identification pour faire le travail.

Pour ajouter un nouvel utilisateur à la base de données, tout ce que l’attaquant doit faire est de générer un MD5 valide. "Nous pouvons utiliser l’outil MD5 inclus pour créer un hachage avec le test du nom d’utilisateur et le mot de passe 1234", disent les chercheurs.
Étant donné que LG n’a pas encore publié de correctif, les utilisateurs d’appareils LG NAS doivent s’assurer que leurs appareils ne sont pas accessibles via Internet et doivent être protégés par un pare-feu configuré pour permettre à un seul ensemble d’IP de se connecter. l’interface web.
Il est également recommandé aux utilisateurs de vérifier périodiquement toute activité suspecte en vérifiant tous les noms d’utilisateur et mots de passe enregistrés sur leurs appareils.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image