QNAP ispravlja dvije nove ranjivosti
Tajvanska kompanija QNAP ispravlja dvije nove ranjivosti ubrizgavanja komandi operativnog sistema bez autentifikacije. Ranjivost CVE-2023-47218 je otkrivena od strane sigurnosne kompanije Rapid7, dok je ranjivost CVE-2023-50358 otkrivena od stane Unit 42 kompanije Palo Alto Networks i nalaze u se različitim verzijama operativnih sistema ugrađenih u upravljački softver (eng. firmware) popularnih QNAP uređaja za skladištenje podatka na mreži (eng. Network-attached Storage – NAS).
QNAP ispravlja dvije nove ranjivosti; Source: Bing Image Creator
RANJIVOSTI
Obije ranjivosti se nalaze u quick.cgi komponenti, ali izgleda u drugoj funkciji i prijavljene su kompaniji QNAP početkom novembra 2023. godine. Ranjivosti utiču na QNAP operativne sisteme kao što su QTS, QuTS Hero i QuTS Cloud. QTS je je operativni sistem za QNAP NAS početnog i srednjeg nivoa. QTS pruža fleksibilne funkcije i aplikacije sa dodatom vrednošću, kao što su snimke, Plex medijski serveri i jednostavan pristup ličnom oblaku, kako bi pouzdano skladištenje postalo dostupno svim korisnicima koji koriste Linux i ext4.
CVE-2023-47218
Ranjiva komponenta quick.cgi je izložena administrativnom funkcijom uređaja zasnovanom na vebu, koja je prisutna u neinicijalizovanom QNAP NAS uređaju. Ova komponenta je namijenjena da se koristi tokom ručnog ili obezbjeđivanja u oblaku QNAP NAS uređaja. Kada je uređaj uspješno inicijalizovan, komponenta quick.cgi je onemogućena na sistemu.
Napadač sa pristupom mreži neinicijalizovanom QNAP NAS uređaju može da izvrši ubrizgavanje komande bez autentifikacije, dozvoljavajući napadaču da izvrši proizvoljne komande na uređaju.
CVE-2023-50358
Ova ranjivost omogućava ubacivanje komande preko quick.cgi komponente QNAP QTS upravljačkog softvera, kojoj se može pristupiti bez autentifikacije. Koristeći ovaj pristup, napadač bi mogao da podesi parametar HTTP zahteva todo=set_timeinfo. Ova vrednost parametra je sačuvana u /tmp/quick/quick_tmp.conf datoteci i nije dezinfikovana. Ovu podešenu vrijednost kasnije obrađuje ranjiva funkcija ntp_sync_func(). Ova funkcija poziva uslužni program ntpdate utility[1] da obradi podešenu vrijednost parametra. Ostatak niza se zatim izvršava sa funkcijom system() koja vodi do izvršenja ubačene komande na sistemu.
AŽURIRANJA
QNAP NAS uređaji su česta meta napada zlonamjernih aktera, posebno ransomware grupa. Kako bi zaštitila korisnike, kompanija QNAP je počela da objavljuje ažuriranja od početkom januara 2024. godine, iako su neka od njih došla u nekoliko faza. Informativna lista pogođenih i ažuriranih verzija je ispod:
| Ranjiva verzija | Djelimično ažurirana verzija | Potpuno ažurirana verzija |
| QTS 5.1.x | QTS 5.1.0.2444 build 20230629 i novije | QTS 5.1.5.2645 build 20240116 i novije |
| QTS 5.0.1 | QTS 5.0.1.2145 build 20220903 i novije | QTS 5.1.5.2645 build 20240116 i novije |
| QTS 5.0.0 | QTS 5.0.0.1986 build 20220324 i novije | QTS 5.1.5.2645 build 20240116 i novije |
| QTS 4.5.x, 4, 4,x | QTS 4.5.4.2012 build 20220419 i novije | QTS 4.5.4.2627 build 20231225 i novije |
| QTS 4.3.6, 4.3.5 | QTS 4.3.6.2665 build 20240131 i novije | QTS 4.3.6.2665 build 20240131 i novije |
| QTS 4.3.4 | QTS 4.3.4.2675 build 20240131 i novije | QTS 4.3.4.2675 build 20240131 i novije |
| QTS 4.3.x | QTS 4.3.3.2644 build 20240131 i novije | QTS 4.3.3.2644 build 20240131 i novije |
| QTS 4.2.x | QTS 4.2.6 build 20240131 i novije | QTS 4.2.6 build 20240131 i novije |
| QuTS Hero h5.1.x | QuTS Hero h5.1.0.2466 build 20230721 i novije | QuTS Hero h5.1.5.2647 build 20240118 i novije |
| QuTS Hero h5.0.1 | QuTS Hero h5.0.1.2192 build 20221020 i novije | QuTS Hero h5.1.5.2647 build 20240118 i novije |
| QuTS Hero h5.0.0 | QuTS Hero h5.0.0.1986 build 20220324 i novije | QuTS Hero h5.1.5.2647 build 20240118 i novije |
| QuTS Hero h4.x | QuTS Hero h4.5.4.1991 build 20220330 i novije | QuTS Hero h4.5.4.2626 build 20231225 i novije |
| QuTScloud c5.x | QuTScloud c5.1.5.2651 i novije | QuTScloud c5.1.5.2651 i novije |
Administratorima se savjetuje da nadograde QNAP NAS uređaje na fiksnu verziju upravljačkog softvera (ako već nisu). QNAP je takođe objasnio kako mogu da provjere da li je njihov sistem ranjiv ovdje.
