A empresa taiwanesa QNAP lançou correções para um conjunto de falhas de média severidade que impactam o QTS e o QuTS hero, algumas das quais poderiam ser exploradas para executar código em seus dispositivos de armazenamento em rede (NAS).
Os problemas, que afetam o QTS 5.1.x e o QuTS hero h5.1.x, estão listados abaixo –
– CVE-2024-21902 – Uma vulnerabilidade de atribuição de permissões incorretas para recurso crítico que poderia permitir que usuários autenticados leiam ou modifiquem o recurso via rede
– CVE-2024-27127 – Uma vulnerabilidade de duplicação gratuita que poderia permitir que usuários autenticados executem código arbitrário via rede
– CVE-2024-27128, CVE-2024-27129 e CVE-2024-27130 – Um conjunto de vulnerabilidades de estouro de buffer que poderia permitir que usuários autenticados executem código arbitrário via rede
Todas as deficiências, que necessitam de uma conta válida nos dispositivos NAS, foram resolvidas nas versões QTS 5.1.7.2770 build 20240520 e QuTS hero h5.1.7.2770 build 20240520. Aliz Hammond, do watchTowr Labs, foi creditada por descobrir e relatar as falhas em 3 de janeiro de 2024.
A vulnerabilidade CVE-2024-27130, relatada sob o ID WatchTowr WT-2023-0054, é causada pelo uso inseguro da função ‘strcpy’ na função No_Support_ACL, utilizada pela solicitação get_file_size no script share.cgi da QNAP. Este script é utilizado ao compartilhar mídia com usuários externos. Para explorar essa vulnerabilidade, um atacante necessita de um parâmetro ‘ssid’ válido, gerado quando um usuário NAS compartilha um arquivo de seu dispositivo QNAP.
Ela também apontou que todas as versões QTS 4.x e 5.x têm a Randomização do Layout do Espaço de Endereços (ASLR) ativada, tornando difícil para um atacante explorar a vulnerabilidade.
As correções chegaram quatro dias depois que a empresa de cibersegurança com sede em Cingapura divulgou detalhes sobre um total de 15 vulnerabilidades, incluindo quatro falhas separadas que poderiam ser usadas para contornar a autenticação e executar código arbitrário.
As vulnerabilidades – rastreadas de CVE-2023-50361 a CVE-2023-50364 – foram resolvidas pela QNAP em 25 de abril de 2024, após a divulgação em dezembro de 2023.
Vale ressaltar que a empresa ainda não lançou correções para a CVE-2024-27131, que foi descrita pelo watchTowr como um caso de “Falsificação de log via x-forwarded-for que permite que usuários façam o download ser registrado como solicitado a partir de uma localização de origem arbitrária”.
A QNAP afirmou que a CVE-2024-27131 não é uma vulnerabilidade real, mas sim uma escolha de design que requer uma alteração nas especificações da interface do usuário dentro do Centro QuLog. Isso deve ser remediado no QTS 5.2.0.
Detalhes sobre outras quatro vulnerabilidades relatadas pelo watchTowr estão atualmente retidos, com três delas sob análise. A quarta questão recebeu um ID CVE e será corrigida na próxima versão.
O watchTowr disse que foi obrigado a tornar públicas as falhas na semana passada depois que a QNAP não as resolveu dentro do período público de divulgação de 90 dias estipulado e que foi generoso ao dar à empresa “múltiplas extensões” para resolvê-las.
Em resposta, a QNAP disse que lamentou os problemas de coordenação, afirmando que está se comprometendo a lançar correções para falhas de alta ou crítica gravidade dentro de 45 dias. Correções para vulnerabilidades de média severidade serão lançadas dentro de 90 dias.
“Pedimos desculpas por qualquer inconveniente que isso possa ter causado e estamos comprometidos em aprimorar continuamente nossas medidas de segurança”, acrescentou. “Nosso objetivo é trabalhar em estreita colaboração com pesquisadores de todo o mundo para garantir a mais alta qualidade de segurança para nossos produtos”.
Com vulnerabilidades em dispositivos NAS da QNAP exploradas no passado por atacantes de ransomware, os usuários são recomendados a instalar as versões mais recentes do QTS e QuTS hero o mais rápido possível para mitigar possíveis ameaças.
