有两个关键的0 day漏洞影响着传统的QNAP系统的存储硬件的安全,这些漏洞会把设备暴露给未经认证的远程攻击者。
这些漏洞被命名为CVE-2020-2509和CVE-2021-36195,这两个漏洞会影响QNAP的TS-231型号的网络连接存储(NAS)的硬件安全,从而允许攻击者操纵存储的数据并劫持设备。同时这些漏洞,也会影响一些非传统的QNAP NAS装备。不过,需要注意的是,只有非传统的QNAP NAS硬件的补丁是可用的。
QNAP代表告诉Threatpost,现已被市场淘汰了的QNAP型号的TS-231 NAS设备最早是在2015年发布的。该型号的补丁也计划会在几周内发布。
当前型号的QNAP设备的补丁需要从QNAP下载中心下载并手动安装。
0 day漏洞信息披露
这两个漏洞都是由SAM Seamless网络的研究人员在周三披露的,他们只公布了很少的技术细节。此次披露是在QNAP官方公开漏洞之前进行的,这也符合SAM Seamless网络的漏洞披露政策,即给厂商三个月的时间披露漏洞细节。这两个漏洞都是在10月和2020年11月这个时间段发现的。
研究人员写道:"我们向QNAP报告了这两个漏洞,厂商会有四个月的时间来修复它们,由于这个漏洞有很高的危险性,我们决定暂时不公开全部细节,因为我们相信这可能会对暴露在互联网上的数万台QNAP设备造成重大破坏。"
QNAP不愿具体说明还有多少传统的NAS设备可能会受到影响。该公司在给Threatpost的一份声明中表示:"QNAP有许多类型的NAS产品。见:https://www.qnap.com/en/product/eol.php)。在该列表中,你可以找到对应型号的硬件维修或更换的时期、支持的操作系统、App更新和维护以及技术支持、安全更新的状态等信息。大部分的机型可以安全升级到最新版本,即QTS 4.5.2。然而,一些旧的硬件型号有固件升级的限制。例如TS-EC1679U-SAS-RP只能支持传统的QTS 4.3.4。"
解析QNAP 的漏洞一
根据QNAP的说法,这个编号为CVE-2020-2509的远程代码执行(RCE)漏洞与硬件中使用的固件有关。QTS 4.5.2.1566(build 20210202)和QTS 4.5.1.1495(build 20201123)之前的固件版本会受到漏洞影响。当前(非旧版)硬件的补丁可以通过QTS 4.5.2.1566(ZIP)和QTS 4.5.1.1495(ZIP)下载。
据研究人员称,该漏洞(CVE-2020-2509)主要存在于NAS网络服务器(默认TCP端口8080)中。
研究人员介绍说:"之前对QNAP NAS的RCE攻击主要是使用了未经身份认证的网页,并在服务器端运行触发代码。因此,我们检查了一些CGI文件(实现了这样的功能),并模糊处理一些相关的文件。"
他们表示,在检查的过程中,他们能够通过对来自不同CGI页面的HTTP请求来模糊处理Web服务器,检查的重点是那些不需要事先进行登录认证的页面。研究人员写道:"我们已经能够复现一些有趣的场景,间接的触发远程代码执行(即触发其他进程中的一些行为)"。
研究人员提出对该漏洞的修复方法是 "在一些核心进程和库的API中进行内容过滤,但截至目前还没有进行修复。"
解析QNAP 的漏洞一
第二个漏洞,被编号为CVE-2021-36195,是一个RCE和任意文件写入漏洞。将于9月发布的QNAP TS-231中的最新固件(4.3.6.1446版本)受到了它的影响。
根据SAM Seamless网络的研究人员的说法,该漏洞允许两种类型的攻击。一种是允许远程攻击者在不知道网络凭证的情况下,访问网络服务器(默认端口8080)来执行任意的shell命令。第二种攻击允许攻击者在不知道任何凭证的情况下访问DLNA服务器(默认端口8200)并在任何(不存在的)位置上创建任意文件数据。它还可以在远程NAS上执行任意命令 。
为了利用这个漏洞,研究人员进行了一次漏洞验证攻击。"我们使用了一个python脚本来入侵设备。我们通过使用一个简单的反向shell技术实现了对设备的完全接管。之后,我们就可以访问一个存储在QNAP存储设备上的文件。存储的任何文件都可以被类似的方法来访问到。"
QNAP表示,可以从QNAP应用中心下载支持硬件的修复程序。
QNAP 补丁发布时间
QNAP代表告诉Threatpost :"目前,我们已经在最新的固件和相关的应用中发布了漏洞修复措施,由于该漏洞的危险程度很高,我们会尽快发布传统版本的安全修复程序。预计将在一周内推出。此外,我们希望还能有一周的时间供用户更新系统。"
本文翻译自:https://threatpost.com/qnap-nas-devices-zero-day-attack/165165/如若转载,请注明原文地址。