Hace unos años, la empresa LaCie, cuyos discos duros extraíbles podéis encontrar en cualquier centro comercial, comenzó a vender NAS “domesticas” para aquellos que necesitan suficiente espacio para sus fotos, películas, etc. o incluso para PYMES que requieran de espacio para gran cantidad de datos.
Estos modelos de NAS, conectados mediante RJ45 al router, es en muchos casos accesible desde internet para ofrecer espacio a los amigos, o bien poder entrar en la NAS y visualizar archivos o documentos desde el trabajo.
Hasta aquí todo normal, ¿no?
El problema viene, cuando este tipo de dispositivos, por defecto permite la conexión mediante HTTP y FTP de un usuario anónimo. ¿Puede entonces cualquier persona visualizar los documentos de mi empresa en la NAS? Si, y también editarlos o borrarlos.
Hace unos meses, avisé a un CERT de la existencia de una LaCie BIG5 expuesta que pertenecía a una cadena de televisión local. Probé a entrar como anonymous, y BINGO. Pude comprobar como tenían establecidas distintas carpetas con las películas, series, telenovelas y dibujos animados o reportajes de forma bastante ordenada y con una calidad asombrosa.
También pude observar como había acceso a modificar la “mosca” o logotipo de la cadena, así como con las “cortinillas” que te decían que iban a publicidad y que volvían en cuestión de minutos.
El mayor de los problemas no era poderte descargar parte de su programación. Sino que tenía en mi mano el poder sustituir videos que iban a entrar en el informativo del día por un video gracioso de Youtube o poner el logo de Anonymous o Rooted como la “mosca”. ¿A quién no le gusta la televisión a la carta?
Desde Shodan podéis vosotros mismos comprobar la cantidad de dispositivos que tienen permitido el uso “anónimo”.
Algo parecido sucede también con algunos modelos de NAS de la compañía NetAPP, responsable de soluciones para grandes empresas. Traen un panel de administración (/na_admin) con un usuario por defecto root sin password. Con una sencilla búsqueda, puedes entrar a los ficheros de cualquier gran empresa o universidad, que las utilizan mucho.
Accediendo al panel, no podremos acceder a los datos de forma directa, pero si modificar propiedades de la NAS y poder hacer un mirror en cualquier servidor externo, donde ya si podremos analizar los datos.
Por lo que vemos, queda demostrado que a pesar de todas las noticias que vemos diariamente, relacionadas sobre el robo de información, hacking y demás, no es suficiente ni mucho menos. Todavía hay gente que tras comprar o contratar unos sistemas de almacenamiento, los conectan directamente sin tan siquiera modificar la contraseña que viene por defecto.
-----------------------------------------
Contribución por Omar Benbouazza Villa
5 comments :
Curioso lo de la cadena de televisión :)
Shodan -> FreeNAS -> admin/freenas -> PWNED! (SSH, ...)
http://www.shodanhq.com/search?q=freenas
Igual de interesante he encontrado sistemas de monitorización remota de SAIs, visibles desde internet y con el usuario por defecto del fabricante. Teniendo la posibilidad de apagarlo y con él toda la instalación del CPD, a saber cuántos servidores pueden ser "tirados" de esta forma tan inocente.
DIOS! menudo fallo de seguridad...
Luego, cuando les reemplazan un fichero se llevan las manos a la cabeza, claro...
Luego cuando les pasa algo ha sido un "hacker" que ha conseguido entrarles en el sistema. xD
Publicar un comentario