¡No permita que los atacantes abusen de su NAS!

NAS se ha convertido en una forma cada vez más común de gestionar el almacenamiento de archivos y copias de seguridad. Pero no importa cómo se use, la información que contiene debe protegerse de una variedad de amenazas.

Imagen: Shutterstock / Lukmanazis

Durante la última década, cada vez más organizaciones han recurrido al almacenamiento conectado a la red, por lo que es de vital importancia proteger la información almacenada allí. A continuación, presentamos algunas de las amenazas actuales para NAS y consejos sobre cómo proteger mejor sus datos.

¿Qué es exactamente un NAS?

Los dispositivos NAS son varios dispositivos de almacenamiento de disco duro, y esos discos duros a menudo se utilizan en diferentes modos RAID para mejorar la redundancia de datos o el rendimiento. El dispositivo tiene su propio sistema operativo, que con frecuencia se deriva de Linux. Se puede acceder a él a través de la red, a menudo conectando un navegador. Esa conexión puede ser en una red local o en Internet, según la configuración del NAS.

Los sistemas de archivos más utilizados hoy en día disponibles en NAS son NFS, SMB y AFP, dependiendo de si es necesario acceder a ellos desde Linux, Windows o MacOS.

VER: El futuro del trabajo: herramientas y estrategias para el lugar de trabajo digital (PDF gratuito) (TechRepublic)

Problemas de seguridad NAS más comunes

Puede ser útil para un administrador de NAS acceder a un NAS a través de Internet, especialmente cuando está ubicado en una ubicación física diferente a la de su propietario, lo que sucede a menudo. Pero al igual que todos los dispositivos conectados a Internet, no está exento de riesgos.

El problema de la contraseña

NAS viene con una contraseña predeterminada para la cuenta de administrador. Algunos proveedores de NAS incluso permiten que el primer inicio de sesión utilice una contraseña vacía antes de configurar una. Por lo tanto, los atacantes pueden escanear Internet en busca de dispositivos NAS y, cuando los encuentren, probar la contraseña predeterminada para conectarse a ellos.

Ejecución de código remoto (RCE)

A veces también conocido como inyección de comandos, RCE es una operación mediante la cual un atacante obtiene el control del dispositivo NAS sin necesidad de una contraseña. En este esquema, un atacante inyecta código explotando las vulnerabilidades existentes en el dispositivo para obtener acceso a él, generalmente con privilegios de administrador. El atacante puede usarlo a voluntad: robar o destruir datos, instalar malware en el dispositivo, etc.

Rebotar desde otros dispositivos conectados

El NAS también puede estar en una red local con muchos otros dispositivos, incluidas las computadoras que pueden tener acceso directo a él y pueden estar constantemente conectados a él. Un atacante que obtenga el control de un dispositivo de este tipo podría usarlo para rebotar en el NAS y, una vez más, hacer lo que quiera con los datos almacenados en él.

VER: Política de seguridad de la red (TechRepublic Premium)

Software malicioso en NAS

En los últimos años han aparecido varios casos en los que los atacantes accedieron con éxito a los dispositivos NAS y utilizaron el compromiso con fines de ciberdelito.

Abusar del NAS: el caso del minero de criptomonedas

Recientemente, un proveedor de NAS publicó un aviso de seguridad sobre la instalación fraudulenta de mineros de Bitcoin en sus dispositivos. Una vez que el NAS se infecta, muestra un uso de CPU inusualmente alto de un proceso llamado [oom_reaper] comiendo alrededor del 50% de la CPU para minar Bitcoin.

Si bien este tipo de malware no roba datos ni invade la privacidad, sigue siendo peligroso porque arruina el rendimiento del sistema y reduce la vida útil de los componentes del NAS y sus discos duros.

Posible ciberespionaje

El malware QSnatch, que existe desde 2014, se dirigió a unos 62.000 dispositivos NAS con su última versión a mediados de 2020. Durante la etapa de infección, el malware se inyecta en el firmware del dispositivo, lo que lo hace persistente. Además, evita las actualizaciones del NAS.

Las funcionalidades de ese malware son proporcionar una versión falsa de la página de inicio de sesión del administrador del dispositivo, extraer las credenciales y proporcionar una puerta trasera SSH al atacante.

También roba un conjunto predeterminado de archivos, incluidos los archivos de configuración y de registro. Esos archivos se cifran y se envían a la infraestructura de los atacantes a través de HTTPS.

Ransomware en NAS

Varios casos de ransomware han afectado al mundo NAS en los últimos dos años.

El ransomware Qlocker se ha dirigido al NAS de QNAP y utilizó el popular formato 7-ZIP para archivar archivos almacenados en el NAS. Los archivos se crearon utilizando una única contraseña conocida solo por el operador del ransomware. Una vez que se realizó el cifrado, una nota de rescate pedía 0.01 Bitcoins (alrededor de $ 550 en el momento de la operación) a cambio de la contraseña de los archivos.

Si bien cada ataque de ransomware generalmente se dirige a un solo proveedor de NAS, el ransomware eCh0raix se dirigió recientemente a los dos proveedores de NAS más grandes, QNAP y Synology, al mismo tiempo. Ese ransomware también solicitó una cantidad bastante barata de rescate (alrededor de $ 500) en comparación con otras campañas de ransomware dirigidas a empresas y, a veces, pidiendo millones de dólares.

VER: 5 lenguajes de programación que los desarrolladores de soluciones de aplicaciones deben aprender (PDF gratuito) (TechRepublic)

Cómo proteger su NAS

Para proteger su NAS de los ciberdelincuentes, los siguientes consejos pueden ser útiles.

Cambiar la contraseña predeterminada

El primer paso al instalar un nuevo NAS en una red es cambiar la contraseña predeterminada. Algunos proveedores se están tomando en serio el problema de la contraseña predeterminada, como QNAP, que decidió a mediados de 2020 establecer la dirección MAC del dispositivo como contraseña predeterminada.

En todos los casos, elija una contraseña sólida, de al menos 10 caracteres, que no contenga palabras pero que combine letras mayúsculas y minúsculas con números y caracteres especiales.

No permita conexiones entrantes desde Internet

Una vez que el NAS esté instalado y funcionando, prohíba que su panel de administración reciba conexiones entrantes de Internet. En su lugar, permita que sea accesible solo desde una red local suya, o incluso desde una sola computadora dentro de esta red. Sin embargo, permita las conexiones salientes para que el NAS aún pueda actualizar su software y firmware cuando se publique una nueva actualización.

Actualice el software y el firmware de su NAS

Dado que los atacantes suelen utilizar la ejecución remota de código y no necesitan ninguna contraseña para ello, actualice siempre el software y el firmware del NAS lo antes posible.

Deshabilite los protocolos innecesarios y asegure los necesarios

Desactive todos los protocolos que no necesita en el NAS. Si no se necesita FTP, desactívelo. Utilice HTTPS en lugar de HTTP. Cierre todos los puertos que no se utilizarán, según sus necesidades.

Cambiar puertos predeterminados

Si realmente necesita acceder al NAS a través de Internet, cambie los puertos predeterminados necesarios: HTTP, HTTPS, SSH, etc.

Conclusión

Un NAS es un gran dispositivo para almacenar datos, pero la seguridad debe ser la principal preocupación al instalarlo en una red. Con los consejos de seguridad proporcionados en este artículo, su NAS debería estar a salvo de la mayoría de los ataques a gran escala.

Divulgar: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Ver también