QNAP Systems, popüler ağa bağlı depolama (NAS) cihazlarının donanım yazılımına gömülü işletim sistemlerinin çeşitli sürümlerinde, kimliği doğrulanmamış iki işletim sistemi komut ekleme güvenlik açığını (CVE-2023-47218, CVE-2023-50358) düzeltti.
Güvenlik açıkları hakkında (CVE-2023-47218, CVE-2023-50358)
Her iki güvenlik açığı da quick.cgi görünüşte farklı bir işleve sahip olsa da bileşen. Her ikisi de Kasım 2023’ün başında QNAP’a bildirildi.
Rapid7 Baş Güvenlik Araştırmacısı Stephen Fewer tarafından ortaya çıkarılan CVE-2023-47218, özel hazırlanmış bir HTTP POST isteği gönderilerek kötüye kullanılabilir.
CVE-2023-50358, Palo Alto Networks Birim 42 tarafından özel olarak bildirildi.
“HTTP istek parametresini ayarlarken yapılacak=set_timeinfoistek işleyicisi quick.cgi parametrenin değerini kaydeder SPECIFIC_SERVER bir yapılandırma dosyasına /tmp/quick/quick_tmp.conf giriş adı ile NTP Adresi” diye açıkladı araştırmacılar.
“NTP sunucu adresini yazdıktan sonra bileşen, zaman senkronizasyonunu ntp tarihi Yarar. Komut satırı yürütmesi okunarak oluşturulur. NTP Adresi içinde quick_tmp.confve bu dize daha sonra kullanılarak yürütülür. sistem(). Güvenilmeyen veriler SPECIFIC_SERVER Bu nedenle parametre, kabukta yürütülecek bir komut satırı oluşturmak için kullanılır ve bu da keyfi komut yürütülmesine neden olur.
Palo Alto Networks Güvenlik Araştırma Mühendisi Jeff Luo, Help Net Security’ye, Palo Alto Networks Gelişmiş Tehdit Önleme algılama sisteminden gelen telemetriyi izlerken CVE-2023-50358’i keşfettiklerini söyledi.
“7 Kasım 2023’ten itibaren bilinmeyen bir güvenlik açığından yararlanma girişimlerini gözlemledik. Daha sonra bu güvenlik açığının, ilk olarak Akamai tarafından gözlemlenen ve 8 Aralık 2023’te yayınlanan CVE-2023-47565 olduğu ortaya çıktı” dedi.
“CVE-2023-47565’in yayınlanmasından önce, Birim 42 araştırmacıları başlangıçta ATP tarafından gözlemlenen güvenlik açığının QTS donanım yazılımını çalıştıran QNAP NAS sistemlerini etkileyeceğinden şüpheleniyorlardı. Ancak 17 Kasım 2023’te Birim 42, QTS ürün yazılımı görüntüleri üzerinde tersine mühendislik ve ek araştırma gerçekleştirdi ve artık CVE-2023-50358 olarak bilinen güvenlik açığını keşfetti. Bu iki güvenlik açığı biraz benzer ancak farklı cihaz sınıflarındaki farklı yazılım bileşenlerini etkiliyor (ağa bağlı depolama, NAS ve ağ video kaydediciler, NVR).
Her iki kusur için de teknik ayrıntılar yayınlandı ve Rapid7, CVE-2023-47218 için bir PoC yayınladı.
Güvenlik güncellemeleri mevcut
QNAP NAS cihazları genellikle saldırganlar ve özellikle de fidye yazılımı kullanan saldırganlar tarafından hedef alınır.
Tayvanlı donanım üreticisi her iki güvenlik açığının da orta şiddette olduğunu söylüyor ancak Palo Alto Networks’ün Birim 42 araştırmacıları şunları söylüyor: “IoT cihazlarını etkileyen bu uzaktan kod yürütme güvenlik açıkları, düşük saldırı karmaşıklığı ve kritik etki kombinasyonunu sergiliyor ve bu da onları tehdit aktörleri için karşı konulamaz bir hedef haline getiriyor. ”
Ancak Rapid7 araştırmacılarının da işaret ettiği gibi, savunmasız olanlar quick.cgi bileşeni, başlatılmamış QNAP NAS cihazlarında mevcuttur ve cihaz başarıyla başlatıldığında sistemde devre dışı bırakılır. Bu ayrıntı, QNAP tarafından belirlenen orta şiddet puanını açıklayabilir.
Bu iki güvenlik açığı, sırasıyla giriş ve orta seviye QNAP NAS cihazları, üst seviye ve kurumsal NAS cihazları ve bulut tabanlı NAS cihazları için donanım yazılımının temel parçaları olan QTS, QuTS Hero ve QuTScloud’un çeşitli sürümlerini etkiliyor.
QNAP, Ocak ayının başından bu yana düzeltmelerle birlikte ürün yazılımı güncellemelerini yayınlıyor, ancak bazı dağıtımlar birkaç aşamada gerçekleşti.
Yöneticilerin, QNAP NAS cihazlarını sabit bir ürün yazılımı sürümüne yükseltmeleri önerilir (henüz yükseltmedilerse). QNAP ayrıca sistemlerinin savunmasız olup olmadığını nasıl kontrol edebileceklerini de açıkladı.