Дырявый Linux и ключи наружу: NanoKVM — мечта хакера, а не сисадмина
NewsMakerУстройство за €30–60, которое админы подключают к серверам ради удобства, оказалось способно тайно записывать звук и сливать трафик в Китай.
В феврале словенский исследователь информационной безопасности опубликовал разбор китайского устройства удалённого управления NanoKVM, из которого выяснилось: дешёвый KVM-комплект за €30–60 поставлялся с целым набором уязвимостей и скрытым микрофоном, который можно было удалённо включать по SSH. Часть проблем за прошедшие месяцы производитель уже исправил, но история показывает, насколько опасно бездумно пускать «чёрные ящики» в свои сети.
NanoKVM — это компактная плата на RISC-V , вышедшая на рынок в прошлом году как бюджетная альтернатива PiKVM. Устройство умеет захватывать HDMI-видео, эмулировать USB-клавиатуру и мышь, управлять питанием и давать браузерный доступ к подключённому ПК. Для админов и энтузиастов это удобный способ «держать за шнурок» сервер или домашний сервер с момента включения — от BIOS и до установки операционной системы, без установки какого-либо ПО на саму целевую машину. Неудивительно, что такие коробочки начали появляться и в реальных IT-инфраструктурах.
По словам исследователя, проблемы безопасности начинаются буквально с момента загрузки устройства. Ранние партии NanoKVM приходили с заданным по умолчанию паролем и открытым доступом по SSH . Об этом он сообщил Sipeed, и позже компания эти настройки изменила. Однако веб-интерфейс до сих пор остаётся минимально защищённым: в нём нет защиты от CSRF-атак и механизма принудительного сброса активных сессий — выйти из личного кабинета «по-настоящему» нельзя.
Отдельная история — обращение с паролями. Ключ шифрования, которым NanoKVM защищает логины в браузере, оказался жёстко зашит в прошивку и одинаков на всех устройствах. То есть, получив этот ключ, злоумышленник потенциально может расшифровать пароли с любого NanoKVM. По словам исследователя, разработчикам пришлось объяснять проблему «несколько раз», прежде чем они признали её серьёзность.
В феврале словенский исследователь информационной безопасности опубликовал разбор китайского устройства удалённого управления NanoKVM, из которого выяснилось: дешёвый KVM-комплект за €30–60 поставлялся с целым набором уязвимостей и скрытым микрофоном, который можно было удалённо включать по SSH. Часть проблем за прошедшие месяцы производитель уже исправил, но история показывает, насколько опасно бездумно пускать «чёрные ящики» в свои сети.
NanoKVM — это компактная плата на RISC-V , вышедшая на рынок в прошлом году как бюджетная альтернатива PiKVM. Устройство умеет захватывать HDMI-видео, эмулировать USB-клавиатуру и мышь, управлять питанием и давать браузерный доступ к подключённому ПК. Для админов и энтузиастов это удобный способ «держать за шнурок» сервер или домашний сервер с момента включения — от BIOS и до установки операционной системы, без установки какого-либо ПО на саму целевую машину. Неудивительно, что такие коробочки начали появляться и в реальных IT-инфраструктурах.
По словам исследователя, проблемы безопасности начинаются буквально с момента загрузки устройства. Ранние партии NanoKVM приходили с заданным по умолчанию паролем и открытым доступом по SSH . Об этом он сообщил Sipeed, и позже компания эти настройки изменила. Однако веб-интерфейс до сих пор остаётся минимально защищённым: в нём нет защиты от CSRF-атак и механизма принудительного сброса активных сессий — выйти из личного кабинета «по-настоящему» нельзя.
Отдельная история — обращение с паролями. Ключ шифрования, которым NanoKVM защищает логины в браузере, оказался жёстко зашит в прошивку и одинаков на всех устройствах. То есть, получив этот ключ, злоумышленник потенциально может расшифровать пароли с любого NanoKVM. По словам исследователя, разработчикам пришлось объяснять проблему «несколько раз», прежде чем они признали её серьёзность.