CVE-2024-27130 в QNAP: Когда «безопасность» всего лишь маркетинговая уловка

В ‎статье‏ ‎«QNAP ‎QTS ‎— ‎QNAPping ‎за‏ ‎рулем ‎(CVE-2024-27130‏ ‎и‏ ‎другие ‎уязвимости)» от ‎WatchTowr‏ ‎Labs ‎представлен‏ ‎подробный ‎анализ ‎нескольких ‎уязвимостей,‏ ‎обнаруженных‏ ‎в ‎устройствах‏ ‎QNAP ‎NAS.

CVE-2024-27130.‏ ‎Переполнение ‎стека ‎в ‎share.cgi: ‎Уязвимость‏ ‎возникает‏ ‎из-за ‎небезопасного‏ ‎использования ‎функции‏ ‎strcpy ‎в ‎функции ‎No_Support_ACL, ‎которая‏ ‎доступна‏ ‎через‏ ‎функцию ‎get_file_size‏ ‎в ‎share.cgi.‏ ‎Это ‎приводит‏ ‎к‏ ‎переполнению ‎стека‏ ‎и ‎возможности ‎удаленного ‎выполнения ‎кода‏ ‎(RCE)

Сценарий ‎атаки:

📌Шаг‏ ‎1:‏ ‎Первоначальный ‎доступ: ‎Злоумышленнику‏ ‎нужна ‎действительная‏ ‎учетная ‎запись ‎пользователя ‎NAS,‏ ‎чтобы‏ ‎воспользоваться ‎этой‏ ‎уязвимостью. ‎Учётная‏ ‎запись ‎может ‎быть ‎получена ‎с‏ ‎помощью‏ ‎фишинга, ‎утечки‏ ‎учетных ‎данных‏ ‎или ‎использования ‎другой ‎уязвимости ‎для‏ ‎получения‏ ‎первоначального‏ ‎доступа.

📌Шаг ‎2:‏ ‎Общий ‎доступ‏ ‎к ‎файлам:‏ ‎Злоумышленник‏ ‎предоставляет ‎общий‏ ‎доступ ‎к ‎файлу ‎с ‎пользователем.‏ ‎Это ‎действие‏ ‎запускает‏ ‎функцию ‎get_file_size ‎в‏ ‎share.cgi.

📌Шаг ‎3:‏ ‎Использование: далее ‎происходит ‎вызов ‎No_Support_ACL,‏ ‎которая‏ ‎небезопасно ‎использует‏ ‎strcpy, ‎что‏ ‎приводит ‎к ‎переполнению ‎буфера. ‎Переполнение‏ ‎достигается‏ ‎засчёт ‎вредоносной‏ ‎полезной ‎нагрузки,‏ ‎которая ‎и ‎переполняет ‎буфер, ‎с‏ ‎последующим‏ ‎внедрением‏ ‎вредоносного ‎кода.

📌Шаг‏ ‎4: ‎Удаленное‏ ‎выполнение ‎кода: Переполненный‏ ‎буфер‏ ‎позволяет ‎выполнить‏ ‎произвольный ‎код ‎на ‎устройстве ‎NAS,‏ ‎потенциально ‎предоставляя‏ ‎полный‏ ‎контроль ‎над ‎системой.

Связанные‏ ‎уязвимости

📌CVE-2024-27129: Небезопасное ‎использование‏ ‎strcpy ‎в ‎функции ‎get_tree‏ ‎в‏ ‎utilRequest.cgi, ‎приводящее‏ ‎к ‎переполнению‏ ‎статического ‎буфера ‎и ‎RCE ‎с‏ ‎требованием‏ ‎наличия ‎действительной‏ ‎учетной ‎записи‏ ‎на ‎устройстве ‎NAS.

📌CVE-2024-27131: ‎Спуфинг ‎«x-forwarded-for»‏ ‎приводит‏ ‎к‏ ‎возможности ‎загрузки‏ ‎файла ‎из‏ ‎произвольного ‎исходного‏ ‎местоположения‏ ‎при ‎наличии‏ ‎возможности ‎загрузки ‎файла.

📌WT-2024-0004: Stored ‎XSS ‎с‏ ‎помощью ‎удаленных‏ ‎сообщений‏ ‎системного ‎журнала ‎при‏ ‎наличии ‎настроек‏ ‎не ‎по ‎умолчанию.

📌WT-2024-0005: Stored ‎XSS‏ ‎с‏ ‎помощью ‎удаленного‏ ‎обнаружения ‎устройств‏ ‎без ‎каких-либо ‎условий ‎для ‎выполнения.

📌WT-2024-0006: Отсутствие‏ ‎ограничения‏ ‎скорости ‎в‏ ‎API ‎аутентификации‏ ‎без ‎каких-либо ‎условий ‎для ‎выполнения

Патчи:

📌Доступны‏ ‎исправления:‏ ‎Первые‏ ‎четыре ‎уязвимости‏ ‎(CVE-2024-27129, ‎CVE-2024-27130,‏ ‎CVE-2024-27131 ‎и‏ ‎WT-2024-0004)‏ ‎были ‎исправлены‏ ‎в ‎следующих ‎версиях: ‎QTS ‎5.1.6.2722,‏ ‎сборка ‎20240402‏ ‎и‏ ‎более ‎поздние ‎версии,‏ ‎QuTS ‎hero‏ ‎h5.1.6.2734, ‎сборка ‎20240414. ‎и‏ ‎более‏ ‎поздней

📌Ответ ‎поставщика:‏ ‎Поставщик ‎признал‏ ‎наличие ‎уязвимостей ‎и ‎работает ‎над‏ ‎их‏ ‎устранением.