Ältere QNAP NAS-Geräte sind anfällig für Zero-Day-Angriffe

Cyber Security News

Einige ältere Modelle von QNAP Network-Attached-Storage-Geräten sind aufgrund zweier ungepatchter Schwachstellen anfällig für unauthentifizierte Remote-Angriffe.

Zwei kritische Zero-Day-Bugs betreffen ältere Speicherhardware von QNAP Systems und setzen die Geräte entfernten, nicht authentifizierten Angreifern aus.

Die Fehler, die als CVE-2020-25099 und CVE-2021-36195 verfolgt werden, betreffen QNAPs NAS-Hardware (Network Attached Storage) des Modells TS-231 und ermöglichen es einem Angreifer, gespeicherte Daten zu manipulieren und das Gerät zu kapern. Die Schwachstellen betreffen auch einige nicht veraltete QNAP-NAS-Geräte. Es ist jedoch wichtig anzumerken, dass Patches für Nicht-Legacy-QNAP-NAS-Hardware verfügbar sind.

Ein Patch für das mittlerweile ausgemusterte QNAP NAS-Gerät TS-231, das erstmals 2015 auf den Markt kam, soll in den nächsten Wochen veröffentlicht werden, so QNAP-Vertreter gegenüber Threatpost.

Patches für aktuelle QNAP-Gerätemodelle müssen vom QNAP-Download-Center heruntergeladen und manuell angewendet werden.

Zero-Day-Enthüllung

Beide Fehler wurden am Mittwoch von SAM Seamless Network-Forschern aufgedeckt, die nur wenige technische Details veröffentlichten. Die Offenlegung erfolgte vor der offiziellen Bekanntgabe der Schwachstellen durch QNAP und entsprach der Offenlegungspolitik von SAM Seamless Network, die einem Hersteller drei Monate Zeit gibt, um Details zu den Schwachstellen zu veröffentlichen. Beide Schwachstellen wurden im Zeitraum von Oktober und November 2020 gefunden und am Mittwoch bekannt gegeben.

“Wir meldeten beide Schwachstellen an QNAP mit einer viermonatigen Frist, um sie zu beheben”, schrieben die Forscher. “Aufgrund der Schwere der Schwachstellen haben wir uns entschieden, die vollständigen Details noch nicht zu veröffentlichen, da wir glauben, dass dies Zehntausenden von QNAP-Geräten, die dem Internet ausgesetzt sind, großen Schaden zufügen könnte.”

QNAP wollte nicht konkret sagen, wie viele zusätzliche Legacy-NAS-Geräte betroffen sein könnten. Das Unternehmen sagte in einer Stellungnahme an Threatpost: “Es gibt viele Hardware-Modelle von NAS bei QNAP. (Siehe: https://www.qnap.com/en/product/eol.php). In der Liste finden Sie die Modelle, den Zeitraum der Hardware-Reparatur oder des Austauschs, die unterstützten Betriebssystem- und App-Updates und die Wartung sowie den Status des technischen Supports und der Sicherheitsupdates. Bei den meisten Modellen konnte das Sicherheitsupdate auf die neueste Version, d. h. QTS 4.5.2, aufgespielt werden. Bei einigen älteren Hardware-Modellen ist das Firmware-Upgrade jedoch nur begrenzt möglich. Zum Beispiel könnte TS-EC1679U-SAS-RP nur die alte QTS 4.3.4 unterstützen.”

Aufschlüsselung des QNAP-Fehlers 1

Dieser als CVE-2020-2509 verfolgte Remote-Code-Execution (RCE)-Bug ist laut QNAP mit Firmware verbunden, die sowohl in alter als auch neuer Hardware verwendet wird. Firmware-Versionen vor QTS 4.5.2.1566 (Build 20210202) und QTS 4.5.1.1495 (Build 20201123) sind betroffen. Patches für aktuelle (Nicht-Legacy-)Hardware können über QTS 4.5.2.1566 (ZIP) und QTS 4.5.1.1495 (ZIP) heruntergeladen werden.

Der Fehler (CVE-2020-2509) befindet sich laut den Forschern im NAS-Webserver (Standard-TCP-Port 8080).

“Frühere RCE-Angriffe auf QNAP NAS-Modelle stützten sich auf Webseiten, die keine vorherige Authentifizierung erfordern und Code auf der Serverseite ausführen/auslösen. Wir haben daher einige CGI-Dateien (die solche Seiten implementieren) untersucht und einige der relevanteren gefuzzed”, beschreiben die Forscher.

Sie sagten, dass sie während der Inspektion in der Lage waren, den Webserver mit angepassten HTTP-Anfragen an verschiedene CGI-Seiten zu fuzzen, wobei sie sich auf solche konzentrierten, die keine vorherige Authentifizierung erforderten. “Wir waren in der Lage, ein interessantes Szenario zu generieren, das indirekt eine Remote-Code-Ausführung auslöst (d. h. ein bestimmtes Verhalten in anderen Prozessen auslöst)”, schreiben die Forscher.

Ein Fix für die Schwachstelle, die von den Forschern vorgeschlagen wird, ist “das Hinzufügen von Input Sanitizations zu einigen Core-Prozessen und Bibliotheks-APIs, aber es wurde zum Zeitpunkt dieses Schreibens noch nicht behoben.”

Aufschlüsselung von QNAP Bug 2

Der zweite Fehler, der als CVE-2021-36195 verfolgt wird, ist ein unauthentifizierter RCE und ein beliebiger Datei-Schreib-Fehler. Er betrifft die neueste Firmware des QNAP TS-231 (Version 4.3.6.1446), die im September veröffentlicht wurde.

Die Schwachstelle ermöglicht zwei Arten von Angriffen. Die eine erlaubt einem entfernten Angreifer – mit Zugriff auf den Webserver (Standard-Port 8080) – beliebige Shell-Befehle auszuführen, ohne dass er die Web-Anmeldedaten kennt.

Der zweite Angriff “erlaubt einem entfernten Angreifer – mit Zugriff auf den DLNA-Server (Standard-Port 8200) – beliebige Dateidaten an einem beliebigen (nicht existierenden) Ort zu erstellen, ohne vorheriges Wissen oder Anmeldeinformationen. Es kann auch erhöht werden, um beliebige Befehle auf dem entfernten NAS auszuführen”, so die Forscher von SAM Seamless Network.

Um den Fehler auszunutzen, haben die Forscher einen Proof-of-Concept-Angriff erstellt. “[We used] ein Python-Skript, das wir geschrieben haben, um uns in das Gerät zu hacken. Wir erreichen die vollständige Übernahme des Geräts, indem wir eine einfache Reverse-Shell-Technik verwenden. Danach greifen wir auf eine Datei zu, die auf dem QNAP-Speicher gespeichert ist. Auf jede gespeicherte Datei kann auf ähnliche Weise zugegriffen werden.”

QNAP sagte, dass ein Fix für unterstützte Hardware vom QNAP App Center heruntergeladen werden kann und als Multimedia Console 1.3.4 bezeichnet wird.

QNAP Patch-Zeitleiste

“Derzeit haben wir den Fix in der neuesten Firmware und der dazugehörigen App veröffentlicht”, so QNAP-Vertreter gegenüber Threatpost. “Da der Schweregrad hoch ist, möchten wir das Sicherheitsupdate auch für ältere Versionen veröffentlichen. Es wird voraussichtlich in einer Woche verfügbar sein. Darüber hinaus hoffen wir, dass es eine weitere Woche für die Updates der Anwender geben wird.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/01153114/NAS-Bug.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com