Los investigadores han encontrado 15 vulnerabilidades en los dispositivos de almacenamiento conectado a la red (NAS) de QNAP y han publicado una prueba de concepto para una: una vulnerabilidad de desbordamiento de pila no autenticada (CVE-2024-27130) que puede aprovecharse para la ejecución remota de código.
Las vulnerabilidades y el PoC CVE-2024-27130
“Con un código base que tiene un legado de más de 10 años y una larga historia de debilidades de seguridad”, el sistema operativo QTS de QNAP y sus “variantes” (QuTSCloud y QTS hero) atrajeron a los investigadores de WatchTowr Labs a buscar vulnerabilidades.
«Dado el modelo de acceso compartido del dispositivo NAS, que permite compartir archivos con usuarios específicos, nos interesaban tanto los errores autenticados como los no autenticados», dijeron .
Terminaron descubriendo 15, que iban desde autenticación faltante/incorrecta y desbordamientos de buffer y montón hasta suplantación de registros y errores de secuencias de comandos entre sitios almacenados.
CVE-2024-27130, la vulnerabilidad para la cual lanzaron un exploit PoC (que solo funciona en un dispositivo QNAP donde la aleatorización del diseño del espacio de direcciones se ha deshabilitado manualmente), puede permitir a un atacante desencadenar un desbordamiento del búfer enviando una solicitud con un parámetro de nombre elaborado .
Un requisito para un ataque exitoso es conocer el parámetro ssid correcto a usar, y los investigadores han descubierto cómo obtenerlo: se puede extraer de un enlace generado cuando un usuario de NAS comparte un archivo con un usuario que no tiene un Cuenta NAS.
“Si bien esto limita un poco la utilidad del error, ¡los verdaderos errores no autenticados son mucho más divertidos! “Es un escenario de ataque completamente realista que un usuario de NAS haya compartido un archivo con un usuario que no es de confianza”, señalaron.
“Podemos, por supuesto, verificar esta expectativa recurriendo a un rápido y sucio idiota de Google, que encuentra un montón de ssids, verificando nuestra suposición de que compartir un archivo con todo el mundo es algo que los usuarios de NAS hacen con frecuencia. .”
Actualice su NAS periódicamente
Los dispositivos NAS de QNAP son populares entre las pequeñas y medianas empresas, así como entre las bandas de ransomware. Mientras que los primeros los utilizan para almacenar sus datos, los segundos los adoran porque pueden cifrar datos confidenciales y exigir un rescate por ellos.
Los investigadores informaron las vulnerabilidades a QNAP en diciembre de 2023 y enero de 2024, y QNAP finalmente comenzó a publicar correcciones en abril de 2024 (para CVE-2023-50361 a CVE-2023-50364).
Otro lote, que abarca CVE-2024-21902 y CVE-2024-27127 a CVE-2024-27130, se abordó en QTS 5.1.7.2770 compilación 20240520 y posteriores y en QuTS hero h5.1.7.2770 compilación 20240520 y posteriores, lanzado hoy.
Es probable que se estén preparando otras soluciones que pueden llevar algún tiempo, ya que algunos de los problemas son bastante complejos. WatchTowr Labs dice que publicarán más información sobre los errores descubiertos en una fecha posterior.
Se recomienda a los administradores que actualicen periódicamente sus sistemas para mitigar el riesgo de explotación de estos y otros agujeros que se divulgan de forma privada o se explotan como días cero.
Fuente y redacción: thehackernews.com