A empresa taiwanesa QNAP lançou correções para um conjunto de falhas de média gravidade que impactam o QTS e o QuTS hero, algumas das quais podem ser exploradas para executar código em seus dispositivos de armazenamento conectados em rede (NAS).
As questões, que impactam o QTS 5.1.x e o QuTS hero h5.1.x, estão listadas abaixo:
– CVE-2024-21902 – Uma vulnerabilidade de atribuição de permissão incorreta para recurso crítico que poderia permitir que usuários autenticados lessem ou modificassem o recurso via rede
– CVE-2024-27127 – Uma vulnerabilidade de dupla liberação que poderia permitir que usuários autenticados executem código arbitrário via rede
– CVE-2024-27128, CVE-2024-27129 e CVE-2024-27130 – Um conjunto de vulnerabilidades de estouro de buffer que poderiam permitir que usuários autenticados executem código arbitrário via rede
Todas as deficiências, que requerem uma conta válida nos dispositivos NAS, foram corrigidas no QTS 5.1.7.2770 build 20240520 e no QuTS hero h5.1.7.2770 build 20240520. Aliz Hammond, do watchTowr Labs, foi creditado por descobrir e relatar as falhas em 3 de janeiro de 2024.
“A vulnerabilidade CVE-2024-27130, que foi relatada sob o ID WT-2023-0054 do WatchTowr, é causada pelo uso inseguro da função ‘strcpy’ na função No_Support_ACL, que é utilizada pela solicitação get_file_size no script share.cgi”, disse a QNAP.
“Também foi observado que todas as versões QTS 4.x e 5.x têm a Randomização de Layout de Espaço de Endereço (ASLR) ativada, o que torna difícil para um atacante explorar a vulnerabilidade.”
Os patches foram lançados quatro dias depois que a empresa de cibersegurança sediada em Cingapura divulgou detalhes sobre um total de 15 vulnerabilidades, incluindo quatro bugs separados que poderiam ser usados para contornar a autenticação e executar código arbitrário.
As vulnerabilidades, rastreadas de CVE-2023-50361 a CVE-2023-50364, foram resolvidas pela QNAP em 25 de abril de 2024, após a divulgação em dezembro de 2023.
É importante ressaltar que a empresa ainda não lançou correções para a CVE-2024-27131, que foi descrita pelo WatchTowr como um caso de “falsificação de log via x-forwarded-for [que] permite que os usuários façam com que os downloads sejam registrados como solicitados a partir de uma localização de origem arbitrária”.
A QNAP afirmou que a CVE-2024-27131 não é uma vulnerabilidade real, mas sim uma escolha de design que requer uma alteração nas especificações da UI dentro do QuLog Center. Isso deverá ser remediado no QTS 5.2.0.
Os detalhes sobre outras quatro vulnerabilidades relatadas pelo WatchTowr estão atualmente retidos, sendo que três delas estão em revisão. O quarto problema recebeu um ID CVE e será corrigido na próxima versão.
O WatchTowr disse que foi obrigado a divulgar as falhas na semana passada, após a QNAP não tratá-las dentro do prazo público de divulgação de 90 dias e que foi generoso ao dar à empresa “múltiplas extensões” para resolvê-las.
Em resposta, a QNAP disse que lamentava os problemas de coordenação, afirmando que se compromete a lançar correções para falhas de alta ou crítica gravidade dentro de 45 dias. As correções para vulnerabilidades de média gravidade serão lançadas dentro de 90 dias.
“Agradecemos qualquer inconveniente que isso possa ter causado e estamos comprometidos em aprimorar continuamente nossas medidas de segurança”, acrescentou. “Nosso objetivo é trabalhar em estreita colaboração com pesquisadores em todo o mundo para garantir a mais alta qualidade de segurança para nossos produtos.”
Com vulnerabilidades nos dispositivos NAS da QNAP já exploradas no passado por atacantes de ransomware, é recomendado que os usuários atualizem para as versões mais recentes do QTS e QuTS hero o mais rápido possível para mitigar possíveis ameaças.
