Het Taiwanese bedrijf QNAP heeft oplossingen uitgerold voor een reeks middelzware fouten die gevolgen hebben voor QTS en QuTS hero, waarvan sommige kunnen worden uitgebuit om code-uitvoering te bewerkstelligen op zijn Network-Attached Storage (NAS)-apparaten.
De problemen die van invloed zijn op QTS 5.1.x en QuTS hero h5.1.x worden hieronder opgesomd:
- CVE-2024-21902 – Een onjuiste toestemmingstoewijzing voor een kwetsbaarheid in kritieke bronnen, waardoor geverifieerde gebruikers de bron via een netwerk kunnen lezen of wijzigen
- CVE-2024-27127 – Een dubbel vrije kwetsbaarheid waarmee geauthenticeerde gebruikers willekeurige code via een netwerk kunnen uitvoeren
- CVE-2024-27128, CVE-2024-27129 en CVE-2024-27130 – Een reeks bufferoverloopkwetsbaarheden waardoor geverifieerde gebruikers willekeurige code via een netwerk kunnen uitvoeren
Alle tekortkomingen, die een geldig account op NAS-apparaten vereisen, zijn verholpen in QTS 5.1.7.2770 build 20240520 en QuTS hero h5.1.7.2770 build 20240520. Aliz Hammond van watchTowr Labs is gecrediteerd voor het ontdekken en rapporteren van de fouten in januari 3, 2024.
“De CVE-2024-27130-kwetsbaarheid, die is gerapporteerd onder WatchTowr ID WT-2023-0054, wordt veroorzaakt door het onveilige gebruik van de 'strcpy'-functie in de No_Support_ACL-functie, die wordt gebruikt door het get_file_size-verzoek in de share. cgi-script”, aldus QNAP.
“Dit script wordt gebruikt bij het delen van media met externe gebruikers. Om dit beveiligingslek te misbruiken heeft een aanvaller een geldige 'ssid'-parameter nodig, die wordt gegenereerd wanneer een NAS-gebruiker een bestand deelt vanaf zijn QNAP-apparaat.”
Het wees er ook op dat alle QTS 4.x- en 5.x-versies Adres Space Layout Randomization (ASLR) ingeschakeld hebben, waardoor het voor een aanvaller moeilijk wordt om misbruik te maken van de kwetsbaarheid.
De patches arriveerden vier dagen nadat het in Singapore gevestigde cyberbeveiligingsbedrijf details had vrijgegeven over in totaal vijftien kwetsbaarheden, waaronder vier afzonderlijke bugs die als wapen konden worden ingezet om authenticatie te omzeilen en willekeurige code uit te voeren.
De kwetsbaarheden – gevolgd van CVE-2023-50361 tot en met CVE-2023-50364 – werden op 25 april 2024 door QNAP opgelost, na openbaarmaking in december 2023.
Het is de moeite waard om op te merken dat het bedrijf nog geen oplossingen heeft uitgebracht voor CVE-2024-27131, wat door watchTowr is beschreven als een geval van “Logspoofing via x-forwarded-for (waarmee) gebruikers de mogelijkheid krijgen om downloads op te nemen zoals gevraagd vanaf een willekeurige bronlocatie.”
QNAP zei dat CVE-2024-27131 geen daadwerkelijke kwetsbaarheid is, maar eerder een ontwerpkeuze die een verandering in de UI-specificaties binnen het QuLog Center vereist. Er wordt verwacht dat dit zal worden verholpen in QTS 5.2.0.
Details over vier andere door watchTowr gerapporteerde kwetsbaarheden worden momenteel achtergehouden, waarvan er momenteel drie worden onderzocht. Het vierde probleem heeft een CVE-ID gekregen en zal in de komende release worden opgelost.
watchTowr zei vorige week gedwongen te zijn de gebreken openbaar te maken nadat QNAP er niet in was geslaagd deze binnen de gestelde openbaarmakingsperiode van 90 dagen aan te pakken, en dat het genereus was door het bedrijf “meerdere uitbreidingen” te geven om ze te verhelpen.
In reactie hierop zei QNAP dat het de coördinatieproblemen betreurde en verklaarde dat het zich ertoe verbindt om binnen 45 dagen oplossingen uit te brengen voor zeer ernstige of kritieke fouten. Oplossingen voor middelzware kwetsbaarheden worden binnen 90 dagen vrijgegeven.
“We verontschuldigen ons voor het eventuele ongemak dat dit mogelijk heeft veroorzaakt en zijn toegewijd aan het voortdurend verbeteren van onze veiligheidsmaatregelen”, voegde het eraan toe. “Ons doel is om nauw samen te werken met onderzoekers over de hele wereld om de hoogste kwaliteit van beveiliging voor onze producten te garanderen.”
Omdat kwetsbaarheden in QNAP NAS-apparaten in het verleden zijn uitgebuit door ransomware-aanvallers, worden gebruikers aangeraden zo snel mogelijk de nieuwste versies van QTS en QuTS hero te gebruiken om potentiële bedreigingen te beperken.
