ChannelBiz

Un estudio de seguridad ha descubierto que  los NAS (del inglés Network Attached Storage)  de múltiples fabricantes tienen, por lo general,  más vulnerabilidades que los routers domésticos, una clase de dispositivos conocidos por la falta de seguridad  por estar diseñadas con códigos fácilmente accesible para un hacker.

De  los NAS estudiados, de diez fabricantes diferentes, dicen los encargados del estudio que “no hubo un solo dispositivo que no pudiese ser hackeado”, además de que al menos la mitad de ellos pudieron ser explotados sin autenticación, según recogen en CIO.com.

Los dispositivos que se evaluaron fueron:  Asustor AS-602T, TN-200 de TRENDnet y TN-200T1, de QNAP TS-870, de Seagate BlackArmor 1BW5A3-570, ReadyNAS104 de Netgear, D-Link DNS-345, de Lenovo ix4-300D, TeraStation de Buffalo 5600, Western Digital MyCloud EX4 y de ZyXEL v2 NSA325.

Además, de acuerdo con  Jacob Holcomb, un analista estadounidense, encargado de probar la seguridad de los mencionados dispositivos,  el proyecto acaba de empezar y se espera encontrar más vulnerabilidades antes de finales de año.

Holcomb condujo un estudio similar el año pasado que identificó más de 50 vulnerabilidades en routers SOHO y ahora espera que el número de vulnerabilidades identificadas en los sistemas NAS vaya a superar con creces a los que encontró en los routers en su anterior proyecto.

El tipo de problemas que encontró en los sistemas NAS incluye la inyección de comandos, desbordamientos del búfer, desvíos y errores de autenticación, divulgación de información, cuentas de puerta trasera o una mala gestión de la sesión. Mediante la combinación de algunas de estas vulnerabilidades, un atacante puede obtener una “shell root” en los dispositivos.

Todas las vulnerabilidades encontradas hasta ahora han sido reportados a los vendedores, pero el lanzamiento de parches para ellos puede tomar meses, de acuerdo con Holcomb.