WatchTowr Labs revela 15 falhas de segurança
21 de Maio de 2024

Uma auditoria de segurança extensiva do QNAP QTS, o sistema operacional para os produtos NAS da empresa, revelou quinze vulnerabilidades de severidades variadas, com onze ainda não corrigidas.

Entre elas está o CVE-2024-27130, uma vulnerabilidade de estouro de buffer na pilha não corrigida na função 'No_Support_ACL' do 'share.cgi', que poderia permitir a um atacante executar código remotamente quando pré-requisitos específicos são atendidos.

O fornecedor respondeu aos relatórios de vulnerabilidade submetidos entre 12 de dezembro de 2023 e 23 de janeiro de 2024, com múltiplos atrasos e corrigiu apenas quatro das quinze falhas.

As vulnerabilidades foram descobertas pelos Laboratórios WatchTowr, que publicaram os detalhes completos de suas descobertas e uma prova de conceito (PoC) para a exploração do CVE-2024-27130 na sexta-feira.

As falhas descobertas pelos analistas da WatchTowr estão principalmente relacionadas à execução de código, estouro de buffer, corrupção de memória, bypass de autenticação e problemas de XSS, impactando a segurança de dispositivos de Armazenamento Conectado à Rede (NAS) em diferentes ambientes de implantação.

A WatchTowr lista um total de quinze falhas, resumidas da seguinte forma:

CVE-2023-50361 : Uso inseguro de sprintf em getQpkgDir invocado de userConfig.cgi.
CVE-2023-50362 : Uso inseguro de funções SQLite acessíveis via parâmetro addPersonalSmtp para userConfig.cgi.
CVE-2023-50363 : Autenticação ausente permite que a autenticação de dois fatores seja desabilitada para usuários arbitrários.
CVE-2023-50364 : Estouro de heap via nome longo de diretório quando a listagem de arquivos é visualizada pela função get_dirs de privWizard.cgi.
CVE-2024-21902: Autenticação ausente permite que todos os usuários visualizem ou limpem logs do sistema e realizem ações adicionais.
CVE-2024-27127: Um double-free em utilRequest.cgi via a função delete_share.
CVE-2024-27128: Estouro de pilha na função check_email, acessível via as ações share_file e send_share_mail de utilRequest.cgi.
CVE-2024-27129: Uso inseguro de strcpy na função get_tree de utilRequest.cgi.
CVE-2024-27130: Uso inseguro de strcpy em No_Support_ACL acessível pela função get_file_size de share.cgi.
CVE-2024-27131: Falsificação de log via x-forwarded-for permite que usuários façam com que downloads sejam registrados como requisitados de locais de origem arbitrários.
WT-2023-0050: Sob embargo estendido devido a um problema inesperadamente complexo.
WT-2024-0004: XSS persistente via mensagens de syslog remotas.
WT-2024-0005: XSS persistente via descoberta remota de dispositivo.
WT-2024-0006: Falta de limitação de taxa na API de autenticação.
WT-2024-00XX: Sob embargo de 90 dias conforme VDP.

Os bugs acima impactam o QTS, o sistema operacional NAS nos dispositivos QNAP, QuTScloud, a versão otimizada para VM do QTS, e QTS hero, uma versão especializada focada em alta performance.

A QNAP abordou o CVE-2023-50361 até o CVE-2023-50364 em uma atualização de segurança lançada em abril de 2024, nas versões QTS 5.1.6.2722 build 20240402 e posteriores, e QuTS hero h5.1.6.2734 build 20240414 e posteriores.

No entanto, todas as outras vulnerabilidades descobertas pela WatchTowr permanecem sem correção.

A vulnerabilidade CVE-2024-27130 da QNAP é causada pelo uso inseguro da função 'strcpy' na função No_Support_ACL.

Esta função é utilizada pela solicitação get_file_size no script share.cgi, usado ao compartilhar mídia com usuários externos.

Um atacante pode criar uma solicitação maliciosa com um parâmetro 'name' especialmente criado, causando o estouro de buffer que leva à execução de código remoto.

Para explorar o CVE-2024-27130, o atacante precisa de um parâmetro 'ssid' válido, que é gerado quando um usuário NAS compartilha um arquivo de seu dispositivo QNAP.

Este parâmetro está incluído na URL do link 'compartilhar' criado em um dispositivo, então um atacante precisaria usar alguma engenharia social para acessá-lo.

Em resumo, o CVE-2024-27130 não é direto de ser explorado, ainda assim, o pré-requisito SSID pode ser atendido por atores determinados.

A WatchTowr publicou uma exploração no GitHub, na qual demonstram como criar um payload que cria uma conta 'watchtowr' em um dispositivo QNAP e os adiciona ao sudoers para privilégios elevados.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...