Araştırmacılar, QNAP’ın ağa bağlı depolama (NAS) cihazlarında 15 güvenlik açığı buldu ve bunlardan biri için bir kavram kanıtı yayınladı: uzaktan kod yürütmek için kullanılabilecek, kimliği doğrulanmamış bir yığın taşması güvenlik açığı (CVE-2024-27130).
Güvenlik açıkları ve CVE-2024-27130 PoC
QNAP’in QTS işletim sistemi ve onun “varyantları” (QuTSCloud ve QTS kahramanı), “10 yılı aşkın uzun bir mirasa ve uzun bir güvenlik zayıflık geçmişine sahip kod tabanıyla” WatchTowr Labs araştırmacılarını güvenlik açıklarını araştırmaya teşvik etti.
“NAS cihazının belirli kullanıcılarla dosya paylaşımına izin veren paylaşılan erişim modeli göz önüne alındığında, hem kimliği doğrulanmış hem de kimliği doğrulanmamış hatalar ilgimizi çekti” dediler.
Eksik/yanlış kimlik doğrulama ve arabellek ve yığın taşmalarından günlük sahtekarlığına ve depolanan siteler arası komut dosyası oluşturma hatalarına kadar değişen 15 tanesini keşfettiler.
CVE-2024-27130 – PoC istismarını yayınladıkları güvenlik açığı (yalnızca adres alanı düzeni rastgeleleştirmesinin manuel olarak devre dışı bırakıldığı QNAP cihazında çalışır) – bir saldırganın özel olarak bir istek göndererek arabellek taşmasını tetiklemesine izin verebilir. hazırlanmış isim parametre.
Başarılı bir saldırının şartı doğruyu bilmektir ssid Kullanılacak parametre ve araştırmacılar bunu nasıl elde edeceklerini buldular: Bir NAS kullanıcısı, NAS hesabı olmayan bir kullanıcıyla bir dosya paylaştığında oluşturulan bir bağlantıdan çıkarılabilir.
“Bu, hatanın kullanışlılığını biraz sınırlasa da, gerçek kimliği doğrulanmamış hatalar çok daha eğlencelidir! – bir NAS kullanıcısının güvenilmeyen bir kullanıcıyla dosya paylaşması tamamen gerçekçi bir saldırı senaryosu” dedi.
“Elbette bu beklentiyi, bir sürü ssid bulan hızlı ve kirli bir Google aptalına başvurarak ve bir dosyayı tüm dünyayla paylaşmanın NAS kullanıcıları tarafından sıklıkla yapılan bir şey olduğu varsayımımızı doğrulayarak doğrulayabiliriz. .”
NAS’ınızı düzenli olarak güncelleyin
QNAP NAS cihazları, küçük ve orta ölçekli işletmeler, kuruluşlar ve fidye yazılımı çeteleri arasında popülerdir. İlki onları verilerini depolamak için kullanırken, ikincisi onları seviyor çünkü hassas verileri şifreleyip fidye için tutabiliyorlar.
Araştırmacılar, QNAP’teki güvenlik açıklarını Aralık 2023 ve Ocak 2024’te bildirdiler ve QNAP nihayet Nisan 2024’te düzeltmeler yayınlamaya başladı (CVE-2023-50361’den CVE-2023-50364’e kadar).
CVE-2024-21902 ve CVE-2024-27127 ila CVE-2024-27130’u kapsayan başka bir grup, bugün yayımlanan QTS 5.1.7.2770 yapı 20240520 ve sonraki sürümlerde ve QuTS Hero h5.1.7.2770 yapı 20240520 ve sonraki sürümlerde ele alınmıştır.
Diğer düzeltmelerin de yapılması muhtemeldir ve bazı sorunlar oldukça karmaşık olduğundan biraz zaman alabilir. WatchTowr Labs, keşfedilen hatalar hakkında daha fazla bilgiyi ileriki bir tarihte yayınlayacaklarını söyledi.
Yöneticilerin, özel olarak ifşa edilen veya sıfır gün olarak istismar edilen bu ve diğer açıkların kötüye kullanılması riskini azaltmak için sistemlerini düzenli olarak güncellemeleri önerilir.