Beveiligingsonderzoekers rapporteerden kwetsbaarheden in verschillende verouderde modellen van QNAP netwerk-aangesloten opslagapparaten. Deze apparaten zijn vatbaar voor niet-geverifieerde aanvallen op afstand vanwege twee zero-day-fouten – CVE-2020-2509 en CVE-2021-36195.
Volgens het beveiligingsonderzoeksteam van SAM, QNAP TS-231's nieuwste firmware (versie 4.3.6.1446 - 2020/09/29) is kwetsbaar:
web Server: staat een externe aanvaller toe met toegang tot de webserver (standaard poort 8080) om willekeurige shell-opdrachten uit te voeren, zonder voorafgaande kennis van de webreferenties.
DLNA-server: staat een externe aanvaller toe met toegang tot de DLNA-server (standaard poort 8200) om willekeurige bestandsgegevens op een (niet bestaand) plaats, zonder enige voorkennis of referenties. Het kan ook worden verhoogd om ook willekeurige commando's op de externe NAS uit te voeren.
Een patch voor het QNAP TS-231 NAS-apparaat zou binnen enkele weken moeten worden vrijgegeven, Threatpost gemeld. Omdat de kwetsbaarheden behoorlijk ernstig zijn, technische details zijn schaars. Volledige openbaarmaking “kan grote schade toebrengen aan tienduizenden QNAP-apparaten die zijn blootgesteld aan internet,"SAM's team bekend.
CVE-2020-2509 en CVE-2021-36195
De eerste kwetsbaarheid zit in de NAS-webserver (standaard TCP-poort 8080).
“De leverancier kan de kwetsbaarheid verhelpen door invoeropschoningen toe te voegen aan enkele kernprocessen en bibliotheek-API's, maar het is op het moment van schrijven nog niet opgelost,”Aldus de onderzoekers.
De tweede kwetsbaarheid verbergt zich in de DLNA-server (standaard TCP-poort 8200). Het team kwam de fout tegen tijdens het onderzoeken van het gedrag en de communicatie van het proces, zowel extern als intern.
Het team slaagde er ook in om de kwetsbaarheid naar de uitvoering van externe code op de externe NAS te vergroten.
In een gesprek met Threatpost, Vertegenwoordigers van QNAP zeiden dat ze de fix hebben uitgebracht in de nieuwste firmware en gerelateerde applicatie. “Omdat het ernstniveau hoog is, we willen de beveiligingsupdate voor oudere versies vrijgeven. Het is naar verwachting binnen een week beschikbaar. Bovendien, we hopen dat er nog een week komt voor updates van gebruikers,”Voegde het bedrijf eraan toe.
In 2019, beveiligingsonderzoekers meldden dat de eCh0raix-ransomware werd gebruikt tegen eigenaren van QNAP NAS-apparaten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: