Dispositivos NAS de Iomega y Lenovo filtran información de los usuarios

Especialistas en seguridad de aplicaciones web reportan una vulnerabilidad de nivel de firmware en los dispositivos de almacenamiento conectados a la red de la compañía Lenovo; de ser explotada, esta falla podría comprometer la seguridad de la información de los usuarios de estas implementaciones.

La vulnerabilidad existe sólo en algunos modelos de dispositivos de almacenamiento conectado en red (NAS, por sus siglas en inglés) y permite a usuarios no autenticados acceder y leer datos almacenados en estas unidades, además de que su explotación es relativamente sencilla, mediante la Interfaz de Programación de Aplicaciones, mencionaron los investigadores que reportaron la falla.

Durante las primeras investigaciones, los especialistas en seguridad de aplicaciones web encontraron al menos 5 mil 100 dispositivos vulnerables y más de 3 millones de archivos expuestos en línea; no obstante, debido al amplio uso de equipos NAS fabricados por Lenovo, el número de usuarios expuestos podría ser mucho mayor.   

Se calcula que la información expuesta podría alcanzar los 40 terabytes; muchos de estos dispositivos expuestos ya han sido indexados por los motores de búsqueda más utilizados, como Google. Según los reportes, algunas de las carpetas expuestas contienen información confidencial, como detalles de tarjetas de pagos y otros datos financieros.   

Por su parte, la compañía notificó a los usuarios de estos dispositivos sobre la falla, descrita como “una vulnerabilidad severa que permite acceso sin autenticación a los archivos en recursos compartidos de NAS”. Lenovo solicita a los usuarios de equipos vulnerables instalar la actualización de firmware lo más pronto posible.

Acorde a los expertos en seguridad de aplicaciones web, en caso de que el usuario no pueda actualizar el firmware a la versión más reciente en estos momentos, una solución alternativa posible es eliminar cualquier recurso público compartido y solamente usar el dispositivo en una red de confianza.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) explican que la actualización de firmware lanzada por Lenovo cambia aspectos fundamentales de la API y de la interfaz web de los dispositivos NAS para mejorar la experiencia de los usuarios. Estas actualizaciones deben ser una constante en la industria debido al gran interés que la información almacenada en línea despierta en los grupos de actores de amenazas.

(Visitado 1101 veces)