Xakep #305. Многошаговые SQL-инъекции
Компания Qnap выпустила исправления для нескольких уязвимостей в своих NAS, включая опасный баг, связанный с выполнением произвольного кода, PoC-эксплоит для которого был опубликован на прошлой неделе.
Напомним, что недавно аналитики компании WatchTowr Labs рассказали, что провели обширный аудит безопасности операционной системы Qnap QTS (QuTSCLoud и QTS Hero), используемой в NAS компании. В результате были обнаружены 15 уязвимостей, причем на момент публикации отчета специалистов 11 из них оставались неисправленными.
Одной из наиболее опасных проблем, найденных исследователями, была CVE-2024-27130. Это уязвимость переполнения буфера стека, связанная с функцией No_Support_ACL в файле share.cgi, которая позволяла злоумышленникам осуществить удаленное выполнение кода при соблюдении определенных условий.
Хуже того, к своему отчету специалисты приложили PoC-эксплоит для CVE-2024-27130, и раскритиковали Qnap за нерасторопность в вопросе выпуска исправлений. Дело в том, что эксперты предупредили разработчиков о багах еще в период с декабря 2023 года по январь 2024 года, то есть выждали даже больше 90 положенных дней перед раскрытием проблем.
На этой неделе Qnap наконец устранила проблему, выпустив QTS 5.1.7.2770 build 20240520 и QuTS hero h5.1.7.2770 build 20240520, в которых также исправлены четыре другие уязвимости, о которых сообщала WatchTowr.
При этом в компании подчеркнули, что эксплуатация CVE-2024-27130 была возможна только на устройствах с отключенной защитой ASLR (Address Space Layout Randomization), а ASLR по умолчанию включена на всех устройствах Qnap под управлением QTS 4.x и 5.x. То есть использование уязвимости было сложным и маловероятным.
Сообщается, что еще два бага, из числа найденных WatchTowr, будут устранены «в ближайшее время». Кроме того, Qnap пока не подтвердила наличие еще трех уязвимостей.
Также в Qnap ответили на критику исследователей, пообещав оптимизировать процессы и ускорить работу над патчами.
«Мы сожалеем о любых проблемах с координированием, которые могли возникнуть в связи с графиком выпуска продуктов и раскрытием этих уязвимостей. Мы прилагаем усилия для улучшения наших процессов и механизмов взаимодействия в будущем, чтобы предотвратить повторное возникновение подобных проблем, — заявили в Qnap. — В дальнейшем мы обязуемся завершать устранение уязвимостей, отнесенных к категориям высокой или критической степени серьезности, и выпускать исправления в течение 45 дней».