有两个严重的0-day漏洞影响传统QNAP系统的存储硬件安全,使设备暴露给未经身份验证的远程攻击者。这些名为CVE-2020-2509和CVE-2021-36195的漏洞影响QNAPTS-231型号网络附加存储(NAS)的硬件安全,允许攻击者操纵存储的数据并劫持设备。同时,这些漏洞也会影响部分非传统QNAPNAS设备。但是请注意,只有非传统的QNAPNAS硬件补丁可用。QNAP代表告诉Threatpost,现已过时的QNAP型号TS-231NAS设备于2015年首次发布。该型号的补丁也计划在几周内发布。当前型号的QNAP设备的补丁需要从QNAP下载中心下载并手动安装。0-day漏洞披露这两个漏洞都是周三由SAMSeamless网络的研究人员披露的,他们发布的技术细节很少。此次披露是在威联通正式发布漏洞之前,也符合SAM无缝网络的漏洞披露政策,给厂商3个月的时间披露漏洞详情。这两个漏洞都是在2020年10月和2020年11月期间发现的。“我们向QNAP报告了这两个漏洞,供应商将有四个月的时间来修复它们,”研究人员写道。可能会对暴露在互联网上的数万台QNAP设备造成重大破坏。”QNAP没有具体说明有多少其他传统NAS设备可能受到影响。在给Threatpost的一份声明中,该公司表示:“QNAP有多种类型的NAS产品。请参阅:https://www.qnap.com/en/product/eol.php)。在该列表中,您可以找到对应型号的硬件维修或更换周期、支持的操作系统、软件更新和维护、技术支持、安全更新状态等。大多数型号都可以安全升级到最新版本,即QTS4.5.2。但是,一些旧的硬件型号有固件升级限制。例如,TS-EC1679U-SAS-RP只能支持传统的QTS4.3.4。”分析QNAP漏洞-根据QNAP的说法,这个编号为CVE-2020-2509代码执行(RCE)漏洞的遥控器与使用的固件有关硬件。QTS4.5.2.1566(build20210202)和QTS4.5.1.1495(build20201123)之前的固件版本受此漏洞影响。当前(非遗留)硬件的补丁可作为QTS4.5.2.1566(ZIP)和QTS4.5.1.1495(ZIP)下载。据研究人员介绍,该漏洞(CVE-2020-2509)主要存在于NAS网络服务器(默认TCP端口8080)中。研究人员表示:“之前针对QNAPNAS的RCE攻击主要是利用未经认证的网页,并在服务器端运行触发代码。因此,我们检查了一些CGI文件(实现了此类功能)并对一些相关文件进行了混淆处理。”他们说,在检查期间,他们能够通过从不同的CGI页面发出HTTP请求来混淆Web服务器,重点是不需要事先登录身份验证的页面。“我们已经能够重现一些有趣的场景,这些场景间接触发远程代码执行(即触发其他进程中的某些行为),”研究人员写道。研究人员提出通过“过滤一些核心进程和库的API中的内容”来修复该漏洞,但目前尚未修复。分析QNAP的第二个漏洞,编号为CVE-2021-36195,是一个RCE和任意文件写入漏洞。将于9月发布的QNAPTS-231最新固件(4.3.6.1446版)受其影响。据SAMSeamless网络的研究人员称,该漏洞允许两种类型的攻击。一种是允许远程攻击者访问Web服务器(默认端口8080)以在不知道网络凭据的情况下执行任意shell命令。第二次攻击允许攻击者在不知道任何凭据的情况下访问DLNA服务器(默认端口8200)并在任何(不存在的)位置创建任意文件数据。它还可以在远程NAS上执行任意命令。为了利用此漏洞,研究人员进行了漏洞验证攻击。“我们使用了一个python脚本来入侵设备。我们通过使用简单的反向shell技术实现了对设备的完全接管。之后,我们能够访问存储在QNAP存储设备上的文件。任何存储的文件都可以以类似的方式访问。”QNAP表示可以从QNAP应用程序中心下载支持硬件的修复程序。威联通补丁发布时间威联通代表告诉Threatpost:“目前,我们已经在最新的固件和相关应用程序中发布了漏洞修复。由于该漏洞的危险程度很高,我们将尽快发布传统版本的安全修复“尽可能。预计将在一周内推出。此外,我们希望再有一周时间让用户更新系统。”,请注明原文地址。
