Veiligheid

QNAP betrapt dutten als openbaarmaking vertraging verloopt, kritieke NAS bugs onthuld

Sommige QNAP-netwerk aangesloten opslagapparaten zijn kwetsbaar voor aanvallen vanwege twee kritieke kwetsbaarheden, een die niet-geverifieerde externe code-uitvoering mogelijk maakt en een andere die de mogelijkheid biedt om naar willekeurige bestanden te schrijven.

De kwetsbaarheden werden op 12 oktober 2020 en op 29 november 2020 kenbaar gemaakt aan het in Taiwan gevestigde bedrijf door SAM Seamless Network, een connected home security firm. Ze werden gevonden in de nieuwste firmware van de QNAP TS-231, versie 4.3.6.1446, waarvan SAM beweert dat deze op 29 september 2020 is uitgebracht, en de websitelijst van QNAP als 7 oktober 2020 – die verschillende buildnummers kan vertegenwoordigen.

“We hebben beide kwetsbaarheden gemeld aan QNAP met een respijtperiode van vier maanden om ze op te lossen”, zei Yaniv Puyeski, een ingebedde softwarebeveiligingsonderzoeker bij SAM, woensdag in een blogpost. “Helaas zijn vanaf de publicatie van dit artikel de kwetsbaarheden nog niet verholpen.”

Op donderdag bracht QNAP echter TS-231 firmwareversie 4.3.6.1620 uit, die een beveiligingslek in opdrachtinjectie (CVE-2020-2509) en een kwetsbaarheid in apache HTTP-server (CVE-2020-9490) aanpakt. De release notes zeggen ook dat ondersteuning voor “Wi-Fi ad-hoc modus” is verwijderd vanwege beveiligingsproblemen.

De opdrachtinjectiefout (CVE-2020-2509) is een van de kwetsbaarheden die SAM heeft gemeld.

De andere, volgens ThreatPost, is aangeduid als CVE-2021-36195, die niet wordt geciteerd in de release notes van QNAP.

Het lijkt op huidige, niet-verouderde hardware met firmware vóór QTS 4.5.2.1566 (build 20210202) en QTS 4.5.1.1495 (build 20201123) kan ook kwetsbaar zijn voor de externe code-uitvoeringsfout en moet worden gepatcht met QTS 4.5.2.1566 (ZIP) of QTS 4.5.1.1495 (ZIP), indien van toepassing.

De twee kwetsbaarheden werden gevonden in de NAS-webserver en de DLNA -server (Digital Living Network Alliance), volgens Puyeski, die zei dat SAM details over de kwetsbaarheden heeft achtergehouden omdat er tienduizenden QNAP-apparaten zijn blootgesteld aan internet.

De NAS-webserverfout werd geïdentificeerd door verschillende cgi-bestanden te fuzzen – gegevens programmatisch injecteren – op basis van eerdere observaties dat QNAP NAS-apparaten webpagina’s hebben geïmplementeerd waarvoor geen verificatie is vereist en servercode wordt uitgevoerd. De onderzoekers van het beveiligingsbedrijf ontdekten dat ze indirect de uitvoering van externe code konden activeren, door bepaald gedrag in andere processen te induceren.

Het oplossen van de NAS-bug is een kwestie van “het toevoegen van invoerdesinfecties aan sommige kernprocessen en bibliotheek-API’s”, aldus Puyeski.

Het probleem met de DLNA-server, die UPNP-aanvragen op poort 8200 verwerkt via het proces myupnpmediasvr, is dat een externe aanvaller de server kan gebruiken om een willekeurig bestand te schrijven.

ThreatPost beweert dat deze fout wordt verholpen in een bijgewerkte versie van QNAP’s mediaserver-app, Multimedia Console 1.3.4, hoewel de update geen melding maakt van beveiligingsoplossingen.

QNAP heeft niet onmiddellijk gereageerd op een verzoek om commentaar. SAM heeft ook niet gereageerd op ons onderzoek.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *