Эксперт Positive Technologies Никита Абрамов обнаружил уязвимость в операционной системе ASUSTOR Data Master (ADM), которая используется для управления устройствами NAS. Злоумышленник мог удаленно выполнить произвольный код в операционной системе NAS-устройств.
Проблема получила индентификатор CVE-2022-37398 (BDU:2022-05028) и оценку 7,1 балла из 10 возможных по шкале CVSS v3, что соответствует высокому уровню опасности.
Отмечается, что в настоящее время в интернете можно обнаружить IP-адреса около 3700 потенциально уязвимых NAS-устройств. Больше всего таких устройств замечено в Тайване, КНР, Южной Корее, Германии, США, Франции, России, Японии, Гонконге и Сингапуре.
Обнаруженной уязвимости подвержены несколько версий ASUSTOR Data Master: 3.5.9.RUE3, 4.0.5.RVI1, 4.1.0.RJD1, а также более ранние версии ПО.
В качестве временного решения администраторы устройств могут отключить протокол WebDAV. Для полноценного устранения уязвимости специалисты ASUSTOR рекомендуют обновить уязвимые версии продукта до следующих или более новых версий:
- ADM 4.1 нужно обновить до версии 4.1.0.RKM1;
- ADM 4.0 нужно обновить до версии 4.0.5.RWM1;
- ADM 3.5 нужно обновить до версии 3.5.9.RWM1.
«При использовании уязвимостей buffer overflow, как в данном случае, злоумышленник получает возможность с помощью атакуемой подпрограммы выполнить запись за границы выделяемого буфера. Иногда это может приводить к нарушению логики программы, к отказу в обслуживании (DoS) или, в некоторых случаях, к выполнению произвольного кода, что позволяет выполнять различные сценарии на стороне атакуемого узла, — рассказывает Никита Абрамов. — Например, устанавливать вредоносное ПО для перехвата данных, использовать программы-шифровальщики, скачивать конфиденциальные данные. Очень часто подобного рода ошибки возникают при отсутствии проверки на максимальную длину получаемых данных или при их некорректной обработке. В этом случае успешно выполнить код на атакуемом устройстве позволяет ошибка, возникающая при работе с заголовком входящего запроса, а также отсутствие необходимых механизмов защиты от эксплуатации у исполняемого приложения».
