В различных моделях сетевых накопителей производства компании LG Electronics обнаружена уязвимость, позволяющая удаленно выполнить команды, полностью скомпрометировать устройство и получить доступ к конфиденциальным данным.
Атакующие могут проэксплуатировать вышеописанную проблему для создания простой командной оболочки на уязвимом устройстве, а затем с ее помощью выполнить команды, в том числе для загрузки полной базы данных накопителя, включая электронные сообщения, логины и хеши паролей.
Так как пароли хешированы с помощью ненадежного алгоритма MD5, злоумышленникам не составит труда взломать их. В случае, если атакующие не намерены взламывать хеши, они могут просто создать нового пользователя и с помощью его учетных данных авторизоваться на устройстве, поясняют исследователи. Для создания нового пользователя злоумышленнику потребуется всего лишь сгенерировать валидный хеш MD5.
В настоящее время проблема остается неисправленной. Сроки выпуска патча также неизвестны. Пользователям LG NAS-устройств рекомендуется разрешить доступ к хранилищам только доверенным IP-адресам, а также периодически проверять все зарегистрированные на устройстве учетные записи на предмет вредоносной активности.
Исследователи опубликовали видео с демонстрацией процесса эксплуатации уязвимости. О каких именно моделях сетевых накопителей идет речь специалисты не раскрыли.