NAS

Et oui, après mon serveur Linux il y a quelques années, c'est au tour de mon NAS de se faire pirater.

Heureusement ou malheureusement, pas de dégat visible, juste un "white hat" qui s'est amusé à me faire télécharger une vidéo à l'aide du client Bittorent intégré à mon NAS.

Le sujet de la vidéo ?

keynote-securite-we-come-in-peace.jpg

.... la privacy

Ce white hat est peut-être un black hat ? Comment puis-je vérifier s'il n'en a pas profité pour télécharger l'ensemble des données présentes sur le NAS ?

Avec du recul, j'ai fait deux erreurs de débutants :

  • La première erreur fut de considérer qu'un NAS est un coffre fort en terme de sécurité.
  • La deuxième erreur fut de donner un accès Internet à des services de mon NAS que je connaissais mal.

Les hardwares (NAS, caméra wifi, robot ..) avec des OS embarqués sont une aubaine pour les pirates :

  • Ils fonctionnent souvent sous des vieux systèmes GNU/Linux avec des trous de sécurités vieux comme le monde.
  • Ils possèdent des firmwares qui sont très rarement mis à jour par leurs constructeurs et pas les utilisateurs.
  • Ils sont très souvent connectés au net.
  • Ils sont très rarement supervisés par leurs propriétaires, ceux-ci n'ont pas forcément les compétences et les moyens pour le faire.

Si vous avez un NAS, je vous conseille donc fortement de laisser ouvert que les ports et les services que vous connaissez et que vous maîtrisez (SSH).

Si vous avez un NAS LG N2R1, je vous conseille dès à présent de bloquer la visibilité du port 9001 de votre NAS sur le net en attendant une mise à jour.
Le client Bittorent fonctionnant sur le port 9001 du NAS provient de l'excellent projet Opensource TransmissionBt.
Les modifications réalisées par LG pour sécuriser ce client Bittorent sont très partielles et le backend RPC permettant à la console Web de communiquer en Ajax avec le NAS semble avoir été oublié.

http://nas:9091/transmission/rpc/

Ce backend RPC non protégé a permis au white hat de me faire télécharger un fichier avec Bittorent sans que je m'en aperçoive ....

Bien joué !


Update 08/09/2011 : Une seconde faille beaucoup plus importante existe