ИБ-специалист Генри Хуан (Henry Huang) рассказал о четырех критических уязвимостях, влияющих на десятки или даже сотни тысяч устройств Qnap NAS.
Дело в том, что три из четырех обнаруженных проблем оказались связаны с предустановленным приложением для создания фотоальбомов Photo Station. Это приложение можно найти на 80% девайсов Qnap. В итоге, по мнению исследователя, приблизительное количество уязвимых устройств составляет около 450 000 (основываясь на данных IoT-поисковика Shodan и собственной приблизительной оценке эксперта).
Как уже было сказано выше, три уязвимости влияют на приложение Photo Station (версии до 6.0.3, 5.2.11, 5.4.9), а четвертый баг связан с приложением файлового менеджера QTS. Все четыре проблемы набрали 9,8 баллов по шкале оценки уязвимостей CVSS, то есть имеют статус критических:
- CVE-2019-7192(Photo Station);
- CVE-2019-7194(Photo Station);
- CVE-2019-7195(Photo Station);
- CVE-2019-7193 (файловый менеджер QTS).
Хуже того, три уязвимости в Photo Station можно объединить в единую цепочку: обойти аутентификацию с помощью CVE-2019-7192 , внедрить вредоносный код в PHP-сессию приложения Photo Station, используя CVE-2019-7194 , а затем установить веб-шелл на уязвимое устройство, применив CVE-2019-7195. Так как Photo Station работает с root-привилегиями, атакующий получает возможность установить полный контроль над проблемным устройством Qnap.
Хуан пишет, что обнаружил эти уязвимости и сообщил о них представителям Qnap еще в июне 2019 года. Компания исправила все найденные баги и обновила Photo Station и QTS в ноябре 2019 года, однако эксперт выждал несколько месяцев перед раскрытием данных о багах, так как хотел дать пользователям больше времени на установку патчей. Отмечу, что обновление QTS потребует обновления прошивки устройства, тогда как обновление Photo Station доступно через Центр приложений Qnap.
