Grave vulnerabilidad detectada en NAS LG, que permite ejecución de código Remoto



Un grupo de investigadores de seguridad han revelado las técnicas con las cuales se puede realizar un ataque de ejecución de código remoto (RCE en inglés)  en varios NAS de la marca el LG, con lo cual podría permitir a un atacante comprometer los equipos y lograr robar información de ellos.

Los equipos NAS(Network Attached Storage), son dispositivos dedicados en el almacenamiento de archivos, que están directamente conectados a la red, lo que le permite a los usuarios que están conectados a la red poder acceder a los archivos, solo de manera autorizada.

La vulnerabilidad fue descubierta por los investigadores de Seguridad de la firma VPN Mentor, los mismos que descubrieron hace un mes, varias vulnerabilidades , en servicios VPN, HotSpot Shield, PureVPN y Zenmate.

La falla en NAS es una vulnerabilidad en el proceso de login del equipo, el cual reside en la validación incorrecta del parámetro "Contraseña", lo que permite a los atacantes remotos pasar comandos arbitrarios del sistema a través del campo de contraseña.


Como lo demostraron los investigadores en el siguiente video, los atacantes pueden aprovechar esta vulnerabilidad para escribir primero un simple shell persistente en los dispositivos de almacenamiento vulnerables conectados a Internet.
Utilizando ese shell, los atacantes pueden ejecutar más comandos fácilmente, uno de los cuales también podría permitirles descargar la base de datos completa de dispositivos NAS, incluidos los correos electrónicos de los usuarios, los nombres de usuario y las contraseñas hash MD5.



Dado que las contraseñas protegidas con la función de cifrado MD5 MD5 se pueden descifrar fácilmente, los atacantes pueden obtener acceso autorizado y robar datos sensibles almacenados en los dispositivos vulnerables.

En caso de que los atacantes no quieran descifrar la contraseña robada, simplemente pueden ejecutar otro comando, como se muestra, para agregar un nuevo usuario al dispositivo e iniciar sesión con esas credenciales para realizar el trabajo.

Lg aún no libera los parches para estos servicios, por lo tanto no queda otra que estar monitoreando comportamiento anómalo.