A empresa taiwanesa QNAP lançou correções para um conjunto de falhas de gravidade média que afetam o QTS e o QuTS hero, algumas das quais poderiam ser exploradas para obter execução de código em seus dispositivos de armazenamento conectado à rede (NAS).
Os problemas que afetam o QTS 5.1.x e o QuTS hero h5.1.x estão listados abaixo:
- CVE-2024-21902 – Uma atribuição de permissão incorreta para vulnerabilidade de recurso crítico que pode permitir que usuários autenticados leiam ou modifiquem o recurso por meio de uma rede
- CVE-2024-27127 – Uma vulnerabilidade duplamente gratuita que pode permitir que usuários autenticados executem código arbitrário através de uma rede
- CVE-2024-27128, CVE-2024-27129 e CVE-2024-27130 – Um conjunto de vulnerabilidades de buffer overflow que podem permitir que usuários autenticados executem código arbitrário através de uma rede
Todas as deficiências, que exigem uma conta válida em dispositivos NAS, foram abordadas no QTS 5.1.7.2770 construct 20240520 e no QuTS hero h5.1.7.2770 construct 20240520. Aliz Hammond do watchTowr Labs foi creditado por descobrir e relatar as falhas em janeiro 3, 2024.
“A vulnerabilidade CVE-2024-27130, que foi relatada sob o ID WatchTowr WT-2023-0054, é causada pelo uso inseguro da função 'strcpy' na função No_Support_ACL, que é utilizada pela solicitação get_file_size no compartilhamento. script cgi”, disse QNAP.
“Este script é usado ao compartilhar mídia com usuários externos. Para explorar esta vulnerabilidade, um invasor requer um parâmetro 'ssid' válido, que é gerado quando um usuário NAS compartilha um arquivo de seu dispositivo QNAP.”
Ele também apontou que todas as versões do QTS 4.xe 5.x têm o Tackle Area Structure Randomization (ASLR) habilitado, dificultando a exploração da vulnerabilidade por um invasor.
Os patches chegaram quatro dias depois que a empresa de segurança cibernética com sede em Cingapura divulgou detalhes sobre um complete de 15 vulnerabilidades, incluindo quatro bugs separados que poderiam ser transformados em armas para ignorar a autenticação e executar código arbitrário.
As vulnerabilidades – rastreadas de CVE-2023-50361 até CVE-2023-50364 – foram resolvidas pela QNAP em 25 de abril de 2024, após divulgação em dezembro de 2023.
É importante notar que a empresa ainda não lançou correções para CVE-2024-27131, que foi descrito por watchTowr como um caso de “falsificação de log through x-forwarded-for (que) permite aos usuários fazer com que os downloads sejam registrados conforme solicitado de um native de origem arbitrário.”
A QNAP disse que CVE-2024-27131 não é uma vulnerabilidade actual, mas sim uma escolha de design que requer uma mudança nas especificações da interface do usuário no QuLog Heart. Espera-se que isso seja corrigido no QTS 5.2.0.
Detalhes sobre quatro outras vulnerabilidades relatadas pelo watchTowr estão atualmente retidos, com três delas atualmente em revisão. O quarto problema recebeu um ID CVE e será corrigido na próxima versão.
watchTowr disse que foi forçado a divulgar as falhas na semana passada, depois que a QNAP não conseguiu resolvê-las dentro do período estipulado de divulgação pública de 90 dias e que foi generoso ao dar à empresa “múltiplas extensões” para dar à empresa tempo suficiente.
Em resposta, a QNAP lamentou os problemas de coordenação, afirmando que está comprometida em lançar correções para falhas de gravidade alta ou crítica dentro de 45 dias. As correções para vulnerabilidades de gravidade média serão lançadas em 90 dias.
“Pedimos desculpas por qualquer inconveniente que isso possa ter causado e estamos comprometidos em melhorar continuamente nossas medidas de segurança”, acrescentou. “Nosso objetivo é trabalhar em estreita colaboração com pesquisadores de todo o mundo para garantir a mais alta qualidade de segurança para nossos produtos”.
Com vulnerabilidades em dispositivos QNAP NAS exploradas no passado por invasores de ransomware, os usuários são recomendados para as versões mais recentes do QTS e QuTS hero o mais rápido possível para mitigar ameaças potenciais.
