NAS CİHAZLARINIZ GÜVENDE Mİ?

Ağa bağlı depolama (NAS – Network-attached storage) cihazları, dosyaları ve yedekleri depolamak, yönetmek ve paylaşmak için yararlı bir çözüm ancak bir yandan da siber saldırganlar için çok çekici bir hedef.

Son yapılan araştırmalara göre, Genellikle ev ağlarında bireysel kullanıcılar ya da küçük ve orta ölçekli işletmelerin iş ağlarında tercih ettiği NAS cihazlarının güvenliğine pek de önem verilmiyor.

Palo Alto Networks araştırmacıları tarafından yakın zamanda yapılan bir çalışma 240,000 QNAP ve yaklaşık 3,500 Synology NAS cihazının internet üzerinden erişilebilir durumda olduğunu gösteriyor. (https://unit42.paloaltonetworks.com/ech0raix-ransomware-soho/)

Sene başından bu yana fidye yazılımı saldırılarının hedefi haline gelen NAS cihazları aynı zamanda botnet operatörleri ya da yalnızca verileri silen/trojan yükleyen saldırganların da hedefinde.

Hatırlarsanız, Nisan 2021’de yakın zamanda yamalanan CVE-2021-28799 kodlu bir zafiyetin saldırganlar tarafından istismar edilmekte olduğu konusunda QNAP tarafından bir uyarı yayınlanmıştı ve bu zafiyetten etkilenen cihazlarda bulunan verilerin şifrelendiği duyurulmuştu. Bir önceki yıl ise 62.000 QNAP NAS cihazının kalıcı (persistent) QSnatch zararlı yazılımından etkilendiğini duymuştuk.

Ağustos ayının başında Synology marka cihazların kaba kuvvet (brute-force) saldırılarına açık olduğu haberi çıktı. Bu zafiyet, halihazırda enfekte olmuş cihazlarda bilinen/internetten bulunabilen yönetici yetkilerine sahip kullanıcı giriş bilgilerini brute-force ile tahmin etmeye sebep oluyordu. İstismar başarılı olduğu takdirde ise saldırganlar sisteme erişip kendi zararlı ‘payload’unu yükleme, bazı durumlarda fidye yazılımı saldırısı gerçekleştirme gibi risklere yol açıyordu. Araştırmacıların yayınlamış olduğu açıklamada “Etkilenen cihazlar, Synology NAS dahil olmak üzere diğer Linux tabanlı cihazlara ek saldırılar gerçekleştirebilir.” denildi.

Ağustos ayının 2. haftasında Palo Alto araştırmacıları eCh0raix fidye yazılımının yeni bir varyantı ile karşılaştıklarını ve bu zararlı yazılımın hem Synology hem de QNAP NAS cihazlarını tehdit ettiğini açıkladı. “CVE-2021-28799 kodlu zafiyetin istismar edilmesi ya da kaba kuvvet saldırıları ile yönetici kullanıcı girişi bilgilerinin ele geçirilmesi sonucu fidye yazılımı bulaşabiliyor” denildi.

Hedeflenen cihazlarda kullanılan ve başarıyla sonuçlanabildiği gözlemlenen parola tahmin saldırılarının, darkweb üzerinde bulunabilen, bilindik kullanıcı adı/parola kombinasyonlarının saldırganların yazdığı uygulamalar ya da botlar kullanılarak denendiği ve ele geçirildiği biliniyor. Fidye yazılımlarını etkili hale getirmek için kullanıcı kimlik bilgilerini ele geçirmenin yanı sıra, kaba kuvvet saldırısı düzenleyen saldırganlar kişiler verileri ele geçirmek ve bu kişiler üzerinden oltalama saldırıları düzenleyerek zararlı yazılımın yayılmasını sağlamak ya da kullanıcıları zararlı yazılım yüklü web sayfalarına yönlendirmek gibi işlemler de gerçekleştirebiliyor.

NAS CİHAZLARININ GÜVENLİĞİ NASIL SAĞLANABİLİR?

2019-2020 yılları arasında, yani sadece 1 yılda NAS Cihazlarında çıkan zafiyetlerde %198 gibi bir artış olduğu yapılan araştırmalarda görülüyor.

Nisan ayında gerçekleşen, QNAP NAS cihazlarındaki zafiyetlerin başarılı istismarı olaylarının nedeni, bu dönem içerisinde bulunan bir zero-day (sıfırıncı gün) açığının kullanılmasıydı. Ancak her halükarda ilk yapılması gereken NAS cihazlarının yazılım/donanım güncellemelerinin atlanmadan ve en kısa sürede yapılması. Güncellemelerden haberdar olmak ve bu güncellemeleri en kısa sürede yapabilmek için, kullanılan cihazın üreticisinin bilgilendirmelerini alabilecek şekilde örneğin e-posta bültenlerine kayıt olmak öncelikli olarak yapılabilecek işlemlerden biri.

Özellikle yönetici yetkilerine sahip hesaplar için kullanılan parolaların öneminden her fırsatta bahsediyoruz. Parolaların mutlaka uzun, karmaşık ve farklı hesaplarda kullanılmayan bir yöntem ile seçilmesi, kaba kuvvet saldırısı gerçekleştirenlerin işini oldukça zorlaştırıyor.

Parola seçimlerinin yanı sıra çoklu kimlik doğrulama (multi-factor authentication) da kullanılabilen durumlarda mutlaka devreye alınmalı.

Gerekli olmadığı durumlarda cihazın internet erişiminin kapatılması ya da yalnız belirli IP adreslerinden erişime izin verilmesi (örneğin yalnız ev ya da iş ağı içerisinden) de uygulanabilir yöntemlerden bir tanesi. Bunun nasıl yapılacağını öğrenmek için NAS cihazlarının satıcılarının forumlarına ya da örneğin https://kb.synology.com/en-global/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS linkinde yer aldığı gibi genel bilgilendirmelere de bakılabilir.

 

Kaynak: https://www.helpnetsecurity.com/2021/08/17/keep-nas-safe/

Başa dön