有两个重要的0 day漏洞危害着传统式的QNAP系统的储存硬件配置的安全性,这种漏洞会把机器设备曝露给没经验证的远程控制攻击者。
这种漏洞被取名为CVE-2020-2509和CVE-2021-36195,这两个漏洞会危害QNAP的TS-231型号的数据连接储存(NAS)的数据库安全,进而容许攻击者控制储存的信息并挟持机器设备。与此同时这种漏洞,也会影响到一些非传统安全的QNAP NAS武器装备。但是,必须留意的是,仅有非传统安全的QNAP NAS硬件配置的补丁包是可以用的。
QNAP意味着告知Threatpost,已经被市場取代了的QNAP型号的TS-231 NAS机器设备最开始是在2015年公布的。该型号的补丁包也方案会在几个星期内公布。
现阶段型号的QNAP机器设备的补丁包必须从QNAP下载中心免费下载并手动式安裝。
0 day漏洞信息内容披露
这两个漏洞全是由SAM Seamless互联网的分析员工在周三披露的,她们只发布了非常少的关键技术。本次披露是在QNAP官方网公布漏洞以前开展的,这也合乎SAM Seamless互联网的漏洞披露现行政策,即给生产商三个月的時间披露漏洞关键点。这两个漏洞都是在10月和2020年11月这一时间范围发觉的。
科学研究工作人员写到:"大家向QNAP汇报了这两个漏洞,厂商会有四个月的时间段来修补他们,因为这一漏洞有很高的危险因素,我们决定临时不公布所有关键点,由于大家坚信这也许会对泄露在移动互联网上的上万台QNAP机器设备导致重要毁坏。"
QNAP不肯实际表明也有是多少传统式的NAS机器设备有可能会遭到危害。该企业在给Threatpost的一份申明中表明:"QNAP有很多种类的NAS商品。见:https://www.qnap.com/en/product/eol.php)。在该目录中,你能寻找相匹配型号的硬件配置修理或拆换的阶段、适用的电脑操作系统、App升级和保护及其服务支持、安全补丁的情况等信息内容。绝大多数的型号可以安全性更新到最新版,即QTS 4.5.2。殊不知,一些旧的硬件配置型号有固件下载的限定。例如TS-EC1679U-SAS-RP只有适用传统式的QTS 4.3.4。"
分析QNAP 的漏洞一
依据QNAP的观点,这一序号为CVE-2020-2509的远程控制执行命令(RCE)漏洞与硬件配置中采用的固定件相关。QTS 4.5.2.1566(build 20210202)和QTS 4.5.1.1495(build 20201123)以前的固件会遭受漏洞危害。现阶段(非老版)硬件配置的补丁包可以根据QTS 4.5.2.1566(ZIP)和QTS 4.5.1.1495(ZIP)免费下载。
据科研工作人员称,该漏洞(CVE-2020-2509)关键出现于NAS网络服务器(默认设置TCP端口8080)中。
科学研究工作人员详细介绍说:"以前对QNAP NAS的RCE进攻主要是运用了没经身份验证的网页页面,并在服务端运作开启编码。因而,大家查验了一些CGI文档(完成了那样的作用),并模糊不清解决一些相应的文档。"
她们表明,在查验的历程中,她们可以利用对来源于不一样CGI网页页面的HTTP要求来模糊不清解决Web服务端,查验的要点是这些不用事前开展登陆验证的网页页面。科学研究工作人员写到:"大家早已可以重现一些有意思的情景,间接性的开启远程控制执行命令(即开启别的过程中的一些个人行为)"。
科学研究工作人员明确提出对该漏洞的修补方式是 "在一些关键过程和库的API中完成內容过虑,但目前为止都还没开展修补。"
分析QNAP 的漏洞一
第二个漏洞,被序号为CVE-2021-36195,是一个RCE和随意文档载入漏洞。将于9月公布的QNAP TS-231中的全新固定件(4.3.6.1446版本号)遭受了它的危害。
依据SAM Seamless互联网的分析员工的观点,该漏洞容许二种种类的进攻。一种是容许远程控制攻击者在不清楚互联网凭据的情形下,浏览网络服务器(默认设置端口号8080)来实行随意的shell命令。第二种进攻容许攻击者在不清楚一切凭据的情形下浏览DLNA网络服务器(默认设置端口号8200)并在一切(不会有的)部位上建立随意文档数据信息。它可以在远程控制NAS上实行随意指令 。
为了更好地运用这一漏洞,科学研究工作人员开展了一次漏洞认证进攻。"大家采用了一个python脚本制作来侵入机器设备。大家根据应用一个简便的反方向shell技术性达到了对机器设备的彻底接手。以后,大家就可以浏览一个储存在QNAP储存设备上的文档。储存的所有文档都能够被相近的办法来浏览到。"
QNAP表明,可以从QNAP应用中心下载适用硬件配置的修补程序流程。
QNAP 补丁包发布时间
QNAP意味着告知Threatpost :"现阶段,大家早已在近期的固定件和相应的运用中公布了漏洞修补对策,因为该漏洞的凶险水平很高,大家会尽早公布传统式版本号的安全性修补程序流程。预估将在一周内发布。除此之外,大家期待还能有一周的時间供客户系统更新。"
文中翻譯自:https://threatpost.com/qnap-nas-devices-zero-day-attack/165165/倘若转截,请标明全文详细地址。