Внимание пользователям NAS: в продуктах QNAP обнаружено 15 дыр безопасности

В ходе аудита безопасности операционной системы QTS, используемой в NAS -продуктах компании QNAP , было выявлено пятнадцать уязвимостей различной степени тяжести. Примечательно, что одиннадцать из них до сих пор остаются неисправленными.

Среди обнаруженных проблем особенно выделяется CVE-2024-27130, уязвимость переполнения буфера стека в функции «No_Support_ACL» скрипта «share.cgi», которая позволяет злоумышленнику при определённых условиях выполнить удалённый код.

Компания QNAP отреагировала на отчёты об уязвимостях с многочисленными задержками и на текущий момент устранила только четыре из пятнадцати обнаруженных проблем. Всё это при том, что компания получила информацию о большинстве уязвимостей ещё в декабре 2023 и январе 2024 года.

Недостатки безопасности были обнаружены специалистами WatchTowr Labs , которые опубликовали полные детали своих находок, а также PoC-эксплойт для CVE-2024-27130.

Найденные недостатки безопасности

Эксперты выявили, что уязвимости в основном связаны с выполнением кода, переполнением буфера, повреждением памяти, обходом аутентификации и проблемами XSS, что ставит под угрозу безопасность NAS-устройств в различных средах развёртывания. Тем временем, полный список уязвимостей включает:

1. CVE-2023-50361. Небезопасное использование «sprintf» в функции «getQpkgDir», вызываемой из «userConfig.cgi».
2. CVE-2023-50362. Небезопасное использование функций SQLite через параметр «addPersonalSmtp» в «userConfig.cgi».
3. CVE-2023-50363. Отсутствие аутентификации позволяет отключить двухфакторную аутентификацию для любых пользователей.
4. CVE-2023-50364. Переполнение кучи при длинном имени директории при просмотре списка файлов через функцию «get_dirs» скрипта «privWizard.cgi».
5. CVE-2024-21902. Отсутствие аутентификации позволяет всем пользователям просматривать или очищать системные журналы и выполнять дополнительные действия.
6. CVE-2024-27127. Двойное освобождение памяти в «utilRequest.cgi» через функцию «delete_share».
7. CVE-2024-27128. Переполнение стека в функции «check_email», доступное через действия «share_file» и «send_share_mail» в «utilRequest.cgi».
8. CVE-2024-27129. Небезопасное использование «strcpy» в функции «get_tree» скрипта «utilRequest.cgi».
9. CVE-2024-27130. Небезопасное использование «strcpy» в «No_Support_ACL», доступное через функцию «get_file_size» в «share.cgi».
10. CVE-2024-27131. Подделка логов через «x-forwarded-for», позволяющее пользователям записывать загрузки как запросы с произвольных источников.
11. WT-2023-0050. Детали пока не раскрываются из-за неожиданно сложной проблемы.
12. WT-2024-0004. Сохранение XSS через сообщения удалённого системного журнала.
13. WT-2024-0005. Сохранение XSS через удалённое обнаружение устройства.
14. WT-2024-0006. Отсутствие ограничения скорости в API аутентификации.
15. WT-2024-00XX. Детали пока не раскрываются.

Вышеупомянутые ошибки влияют на QTS, операционную систему NAS на устройствах QNAP, QuTScloud, версию QTS, оптимизированную для виртуальных машин, и QTS hero, специализированную версию, ориентированную на высокую производительность.

Реакция QNAP

Компания QNAP исправила CVE-2023-50361 через CVE-2023-50364 в обновлении для системы безопасности, выпущенном в апреле 2024 года, в версиях QTS 5.1.6.2722 build 20240402 и более поздних, и QTS hero h5.1.6.2734 build 20240414 и более поздних.

Все остальные уязвимости, обнаруженные WatchTowr, почему-то до сих пор остаются без внимания, за что эксперты активно критикуют QNAP.

Эксплойт для уязвимости CVE-2024-27130

Уязвимость CVE-2024-27130 вызвана небезопасным использованием функции «strcpy» в функции «No_Support_ACL». Эта функция используется запросом «get_file_size» в скрипте «share.cgi» при обмене медиафайлами с внешними пользователями.

Злоумышленник может создать вредоносный запрос через специально сформированный параметр «name», что приведёт к переполнению буфера и выполнению удалённого кода. Для эксплуатации CVE-2024-27130 атакующему необходим действительный параметр SSID, который генерируется при обмене файлом пользователем NAS устройства QNAP.

Этот параметр включается в URL-ссылку, создаваемую на устройстве при обмене, и злоумышленник может использовать социальную инженерию для его получения. Более того, иногда пользователи просто делятся этими ссылками онлайн, что позволяет найти их через обычный поиск в Google.

Несмотря на то, что уязвимость CVE-2024-27130 не так просто эксплуатировать, значение параметра SSID может быть получено при достаточной настойчивости атакующего. Как уже было отмечено выше, специалисты WatchTowr опубликовали эксплойт на GitHub, где также показали, как создать учётную запись на устройстве QNAP и повысить её привилегии.

Компания QNAP пока не предоставила никаких комментариев по поводу технического отчёта WatchTowr Labs и обвинений в медлительности при устранении уязвимостей.