A Lenovo egyes NAS- adattárolóinak esetében egy biztonsági résre derült fény, amelyre a Vertical Structure és a WhiteHat Security biztonsági kutatói hívták fel a figyelmet – írja a biztonsagportal.hu.

A szakemberek arra jöttek rá, hogy egy API-n keresztül egy támadó lekérdezheti az adattárolókon lévő fájlok listáját, és azokhoz hozzáférést is szerezhet a még mindig viszonylag széles körben használt Iomega/LenovoEMC berendezéseknél.

"A szóban forgó API teljes mértékben elérhető és használható mindenféle authentikáció nélkül. Lehetőséget ad fájllistázásra és fájlok letöltésére távolról, meglehetősen triviális módszerekkel" - nyilatkozta Simon Whittaker, a Vertical Structure igazgatója. A biztonsági szakértők a felfedezésüket követően értesítették a Lenovot, amely egy biztonsági közleményben elismerte a sebezhetőség létezését, és egyúttal arról is nyilatkozott, hogy melyik eszközei érintettek, azok esetében pedig miként szüntethetőek meg a rés kockázatai. Mint kiderült, legjobb megoldás a firmware verziókra történő frissítés lehet.

A kockázatokat fokozza, hogy az eddigi vizsgálatok alapján lehetőség nyílhat a sérülékenység automatizált kihasználására. A Shodan kereső több mint ötezer ilyen védtelen készüléket tart nyilván, amelyek az internet felől a szóban forgó biztonsági résen keresztül is támadhatók. Az érintett termékeket is kiemelték, többek között a px12-350r, ix12-300r, version 4.0.24.34808:-at, a HMNHD (Home Media Network Hard Drive) Cloud Edition-t, a StorCenter ix2-200, Cloud Edition-t, a StorCenter ix4-200d, Cloud Edition-t, a StorCenter ix4-200d-t és a StorCenter ix4-200r-t.

A Lenovo az érintett adattárolók mielőbbi frissítését javasolta. Emellett azt tanácsolta, hogy frissítés hiányában célszerű leválasztani az internetről ezeket az eszközöket, és csak megbízható - belső - hálózatból elérhetővé tenni azokat.