Şirketin NAS ürünleri için işletim sistemi olan QNAP QTS'nin kapsamlı bir güvenlik denetimi, onbiri kaldı ve değişen on bir şiddete sahip on beş güvenlik açığını ortaya çıkardı.
Bunlar arasında CVE-2024-27130, bir saldırganın belirli önkoşullar karşılandığında uzaktan kod yürütülmesini sağlayabilecek 'Share.CGI' 'nin' no_support_acl 'işlevinde birleştirilmemiş bir yığın arabelleği taşma güvenlik açığı vardır.
Satıcı, 12 Aralık 2023 ve 23 Ocak 2024 arasında sunulan güvenlik açığı raporlarına birden fazla gecikme ile yanıt verdi ve on beş kusurdan sadece dördünü düzeltti.
Güvenlik açıkları, bulgularının tüm ayrıntılarını ve CVVE-2024-27130 için bir kavram (POC) Kanıtı (POC) Kanıtı tarafından yayınlanan WatchTowr Labs tarafından keşfedildi.
WatchTowr analistleri tarafından ortaya çıkarılan kusurlar öncelikle kod yürütme, arabellek taşmaları, bellek bozulması, kimlik doğrulama baypası ve XSS sorunları ile ilgilidir ve farklı dağıtım ortamlarında ağ ekli depolama (NAS) cihazlarının güvenliğini etkiler.
WatchTowr, aşağıdaki gibi özetlenen toplam on beş kusuru listeler:
Yukarıdaki hatalar QTS'yi, QNAP cihazlarındaki NAS işletim sistemi, QUTSCLOUD, QTS'nin VM optimize edilmiş sürümü ve yüksek performansa odaklanan özel bir sürüm olan QTS Hero'yu etkiler.
QNAP, Nisan 2024'te yayınlanan bir güvenlik güncellemesinde, QTS 5.1.6.2722 Build 20240402 ve sonraki sürümlerde CVE-2023-50361 ile CVE-2023-50364 ile CVE-2023-50364'e hitap etti.
Bununla birlikte, WatchTowr tarafından keşfedilen diğer tüm güvenlik açıkları kabul edilmez.
QNAP CVE-2024-27130 güvenlik açığı, no_support_acl işlevinde 'strcpy' fonksiyonunun güvenli olmayan kullanımı neden olur. Bu işlev, harici kullanıcılarla medya paylaşırken kullanılan share.cgi komut dosyasındaki get_file_size isteği ile kullanılır.
Bir saldırgan, özel olarak hazırlanmış bir 'isim' parametresi ile kötü niyetli bir istek oluşturabilir ve bu da arabellek taşmasına neden olan uzaktan kod yürütülmesine neden olabilir.
CVE-2024-27130'dan yararlanmak için saldırganın, bir NAS kullanıcısı QNAP cihazlarından bir dosya paylaştığında oluşturulan geçerli bir 'SSID' parametresine ihtiyacı vardır.
Bu parametre, bir cihazda oluşturulan 'Paylaş' bağlantısının URL'sine dahil edilmiştir, bu nedenle bir saldırganın buna erişmek için bazı sosyal mühendislik kullanması gerekir. Ancak, BleepingComputer kullanıcıların bazen bu bağlantıları çevrimiçi olarak paylaştıklarını ve basit bir Google aramasından dizine eklenmesini ve alınmasını sağladığını buldu.
Özetle, CVE-2024-27130 sömürmek için basit değildir, ancak SSID ön koşulları belirlenmiş aktörler için karşılanabilir.
WatchTowr, GitHub'da bir QNAP cihazına bir 'Watchtowr' hesabı oluşturan bir yükün nasıl oluşturulacağını gösterdikleri ve yükseltilmiş ayrıcalıklar için Sudoers'a ekledikleri bir istismar yayınladı.
BleepingComputer, açıklanan kusurlarla ilgili bir açıklama için QNAP ile temasa geçti, ancak bir yorum hemen mevcut değildi.
GÜNCELLEME 5/21: QNAP, CVE-2024-27130 için acil bir güncelleme ve WatchTowr tarafından tanımlanan dört kusur daha yayınladı ve QTS 5.1.7.2770 Build 20240520 ve daha sonra.
Bugün yayınlanan bir açıklamada, şirket yama gecikmesini "koordinasyon sorunlarına" bağladı ve bundan sonra 45 günden sonra bildirilen herhangi bir kritik ve yüksek şiddetli kusurları yamaya söz verdi.
D-Link Exo AX4800 yönlendiriciler
SMS saldırısına açık endüstriyel IoT cihazlarında yaygın olarak kullanılan modemler
Maksimum ciddiyet Flowmon Bug halka açık bir istismar var, şimdi yama
Kritik RCE Kusuruna karşı savunmasız 50.000'den fazla Tinyproxy Sunucu
HPE Aruba Ağı Arubaos'ta dört kritik RCE kusurunu düzeltiyor
Kaynak: Bleeping Computer