A empresa taiwanesa QNAP lançou correções para um conjunto de falhas de média gravidade que afetam o QTS e o QuTS hero, algumas das quais poderiam ser exploradas para executar código em seus dispositivos de armazenamento conectados à rede (NAS).
Os problemas, que afetam o QTS 5.1.x e o QuTS hero h5.1.x, estão listados abaixo:
– CVE-2024-21902 – Uma vulnerabilidade de atribuição incorreta de permissões para recursos críticos que poderia permitir que usuários autenticados lessem ou modificassem o recurso por meio de uma rede.
– CVE-2024-27127 – Uma vulnerabilidade de liberação dupla que poderia permitir que usuários autenticados executem código arbitrário por meio de uma rede.
– CVE-2024-27128, CVE-2024-27129 e CVE-2024-27130 – Um conjunto de vulnerabilidades de estouro de buffer que poderiam permitir que usuários autenticados executem código arbitrário por meio de uma rede.
Todas as falhas, que exigem uma conta válida nos dispositivos NAS, foram corrigidas nas versões QTS 5.1.7.2770 build 20240520 e QuTS hero h5.1.7.2770 build 20240520. Aliz Hammond, da WatchTowr Labs, foi creditada por descobrir e relatar as falhas em 3 de janeiro de 2024.
“A vulnerabilidade CVE-2024-27130, que foi relatada sob o ID WT-2023-0054 da WatchTowr, é causada pelo uso inseguro da função ‘strcpy’ na função No_Support_ACL, que é utilizada pela solicitação get_file_size no script share.cgi,” disse a QNAP.
“A vulnerabilidade é explorada quando se compartilha mídia com usuários externos. Para explorar essa vulnerabilidade, um atacante precisa de um parâmetro ‘ssid’ válido, que é gerado quando um usuário NAS compartilha um arquivo de seu dispositivo QNAP.”
A empresa também destacou que todas as versões QTS 4.x e 5.x têm a Randomização de Layout de Espaço de Endereço (ASLR) ativada, o que dificulta que um atacante explore a vulnerabilidade.
As correções foram lançadas quatro dias depois que a empresa de cibersegurança com sede em Cingapura divulgou detalhes sobre um total de 15 vulnerabilidades, incluindo quatro falhas separadas que poderiam ser usadas para acessar o sistema sem autenticação e executar código arbitrário.
As vulnerabilidades, rastreadas de CVE-2023-50361 a CVE-2023-50364, foram resolvidas pela QNAP em 25 de abril de 2024, após a divulgação em dezembro de 2023.
É importante observar que a empresa ainda não lançou correções para a CVE-2024-27131, que foi descrita pela WatchTowr como um caso de “Falsificação de logs via X-Forwarded-For [que] permite que usuários façam downloads serem registrados como solicitados a partir de uma localização de origem arbitrária”.
A QNAP afirmou que a CVE-2024-27131 não é uma vulnerabilidade real, mas sim uma escolha de design que requer uma alteração nas especificações de interface do usuário no QuLog Center. Essa questão deve ser corrigida na versão QTS 5.2.0.
Detalhes sobre outras quatro vulnerabilidades relatadas pela WatchTowr estão atualmente retidos, sendo que três delas estão em revisão. A quarta questão recebeu um ID CVE e será corrigida na próxima versão.
A WatchTowr afirmou que foi obrigada a tornar públicas as falhas na semana passada depois que a QNAP não as corrigiu dentro do prazo determinado de divulgação pública de 90 dias e que foi generosa ao dar à empresa “múltiplas extensões” para corrigi-las.
Em resposta, a QNAP lamentou os problemas de coordenação, afirmando que está comprometida em lançar correções para falhas de alta ou crítica gravidade dentro de 45 dias. As correções para vulnerabilidades de média gravidade serão lançadas dentro de 90 dias.
“Pedimos desculpas por qualquer inconveniente que isso possa ter causado e estamos comprometidos em aprimorar continuamente nossas medidas de segurança”, acrescentou. “Nosso objetivo é trabalhar em estreita colaboração com pesquisadores em todo o mundo para garantir a mais alta qualidade de segurança para nossos produtos.”
Com vulnerabilidades em dispositivos NAS da QNAP já exploradas no passado por atacantes de ransomware, os usuários são recomendados a atualizar para as versões mais recentes do QTS e QuTS hero o mais rápido possível para mitigar possíveis ameaças.
