Cientos de miles de dispositivos QNAP vulnerables a ataques de adquisición remota


qnap.jpg

Imagen: QNAP

Un investigador de seguridad taiwanés publicó detalles hoy sobre tres vulnerabilidades en el firmware de los dispositivos de almacenamiento conectado a la red (NAS) QNAP.

Henry Huang, el investigador de seguridad, dijo que los errores residen en Photograph Station, una aplicación de álbum de fotos que viene preinstalada con todas las versiones recientes de los sistemas QNAP NAS.

Huang dice que la aplicación Image Station está instalada en alrededor del 80% de todos los sistemas QNAP NAS un número que el investigador cree que son alrededor de 450,000 dispositivos, basado en una estimación aproximada utilizando los resultados proporcionados por el motor de búsqueda Shodan IoT.

qnap-photo-station.png "height =" auto "width =" 370 "src =" https://zdnet3.cbsistatic.com/hub/i/r/2020/05/19/8abfaef5-660b-4987-aeb5 -92bc6879d212 / redimensionar / 370xauto / 0e7b63bd6668be968d99b326f43f29cd / qnap-photo-station.png

Aplicación QNAP Photo Station

Imagen: QNAP

El investigador de seguridad taiwanés dice que todos estos sistemas QNAP son vulnerables a los ataques de adquisición remota.

en un Publicación de weblog mediana Hoy, Huang publicó detalles técnicos en profundidad sobre tres de las cuatro vulnerabilidades que encontró en los dispositivos QNAP. Tres impactan la aplicación Picture Station, mientras que un cuarto impacta el Aplicación de administrador de archivos QTS.

1) CVE-2019-7192 (CVSS 9.8) (error de Photo Station)
2) CVE-2019-7194 (CVSS 9.8) (error de Picture Station)
3) CVE-2019-7195 (CVSS 9.8) (Estación de fotos)
4) CVE-2019-7193 (CVSS 9.8) (error de la aplicación QTS, no relacionado)

El investigador dijo que los tres errores de Photograph Station se pueden encadenar para omitir la autenticación (mistake n. ° 1), insertar código malicioso en la sesión PHP de la aplicación Picture Station (mistake n. ° 2) y luego instalar un shell world wide web en dispositivos QNAP sin parches (mistake n. ° 3)

Huang dice que, dado que la aplicación Photo Station se ejecuta con privilegios de root, los atacantes pueden explotar los tres errores para tomar el management full sobre los dispositivos QNAP.

Errores reparados el año pasado

El investigador dijo que encontró los cuatro errores el año pasado e informó los problemas a QNAP en junio.

Después de su informe, QNAP lanzó actualizaciones de seguridad para las aplicaciones Image Station y QTS en noviembre de 2019.

Las instrucciones sobre cómo aplicar las actualizaciones de seguridad están disponibles en el portal de soporte de QNAP, aquí. La actualización de la aplicación QTS requiere una actualización de firmware QNAP, mientras que la actualización de la aplicación Image Station está disponible a través del Centro de aplicaciones QNAP.

Si los propietarios de dispositivos no pueden actualizar de inmediato, se recomienda que desconecten los dispositivos de World-wide-web para evitar ataques de botnets o pandillas de ransomware.

Sin embargo, dado que los sistemas NAS se han diseñado con el único propósito de estar disponibles en Net, la actualización de su firmware y la aplicación Image, respectivamente, es el curso de acción recomendado y provocará la menor interrupción para todos los usuarios de QNAP.



Enlace a la noticia primary