Des chercheurs de vpnMentor ont découvert une faille sur les périphériques LG NAS

Des chercheurs de vpnMentor ont découvert que de nombreux modèles de LG NAS étaient impactés par une faille d'injection de commandes permettant de prendre le contrôle des périphériques de stockage en réseau (NAS) de LG. Cette faille, pas encore corrigée, est exploitable à distance et sans authentification. Un défaut dans le paramètre "password" de la page de login pourrait être exploité afin d'exécuter des commandes arbitraires permettant notamment de créer de nouveaux comptes utilisateurs. Les attaquants seraient alors en mesure de se connecter à l'interface d'administration et d'accéder aux fichiers stockés avec le compte légitime précédemment créé.

Il est à noter qu'un code ainsi qu'une vidéo démonstrative de la preuve de concept permettant l'exploitation de cette faille ont été publiés.

LG a été informé de la faille de sécurité, mais il n'existe pour l'instant aucun correctif traitant cette vulnérabilité.