QNAP Systems исправила две неаутентифицированные уязвимости внедрения команд ОС (CVE-2023-47218, CVE-2023-50358) в различных версиях операционных систем, встроенных в прошивку их популярных сетевых устройств хранения данных (NAS).
Об уязвимостях (CVE-2023-47218, CVE-2023-50358)
Обе уязвимости находятся в быстрый.cgi компонент, хотя, по-видимому, в другой функции. Об обоих сообщили QNAP в начале ноября 2023 года.
CVE-2023-47218, обнаруженный Стивеном Фьюером, главным исследователем безопасности в Rapid7, можно использовать, отправив специально созданный запрос HTTP POST.
О CVE-2023-50358 сообщило в частном порядке подразделение 42 компании Palo Alto Networks.
«При настройке параметра HTTP-запроса todo=set_timeinfoобработчик запроса в быстрый.cgi сохраняет значение параметра КОНКРЕТНЫЙ_СЕРВЕР в файл конфигурации /tmp/quick/quick_tmp.conf с названием записи NTP-адрес«, — пояснили исследователи.
«После записи адреса NTP-сервера компонент запускает синхронизацию времени с помощью нтпдате полезность. Выполнение командной строки осуществляется путем чтения NTP-адрес в быстрый_tmp.confи эта строка затем выполняется с использованием система(). Недостоверные данные из КОНКРЕТНЫЙ_СЕРВЕР Поэтому параметр используется для построения командной строки, которая будет выполняться в оболочке, что приводит к выполнению произвольной команды».
Джефф Луо, инженер по исследованиям безопасности в Palo Alto Networks, рассказал Help Net Security, что они обнаружили CVE-2023-50358 во время мониторинга телеметрии из системы обнаружения Advanced Threat Prevention компании Palo Alto Networks.
«Мы наблюдали попытки использования неизвестной уязвимости, начиная с 7 ноября 2023 года. Позже выяснилось, что эта уязвимость — CVE-2023-47565, которая впервые была обнаружена Akamai и опубликована 8 декабря 2023 года», — пояснил он.
«До публикации CVE-2023-47565 исследователи Unit 42 изначально подозревали, что обнаруженная ATP уязвимость может повлиять на системы QNAP NAS, на которых работает прошивка QTS. Однако 17 ноября 2023 года подразделение 42 провело реверс-инжиниринг и дополнительное исследование образов прошивки QTS и обнаружило уязвимость, теперь известную как CVE-2023-50358. Эти две уязвимости в чем-то схожи, но затрагивают разные программные компоненты в разных классах устройств (сетевое хранилище, NAS или сетевые видеорегистраторы, NVR)».
Были опубликованы технические подробности обеих уязвимостей, а Rapid7 опубликовал PoC для CVE-2023-47218.
Доступны обновления безопасности
Устройства QNAP NAS часто становятся объектами атак злоумышленников, особенно злоумышленников, использующих программы-вымогатели.
Тайваньский производитель оборудования заявляет, что обе уязвимости имеют средний уровень серьезности, но исследователи Unit 42 компании Palo Alto Networks говорят, что «эти уязвимости удаленного выполнения кода, влияющие на устройства IoT, демонстрируют сочетание низкой сложности атаки и критического воздействия, что делает их неодолимой мишенью для злоумышленников. »
Но, как отметили исследователи Rapid7, уязвимые быстрый.cgi Компонент присутствует в неинициализированных устройствах QNAP NAS, и после успешной инициализации устройства оно отключается в системе. Эта деталь может объяснить среднюю степень тяжести, определенную QNAP.
Эти две уязвимости затрагивают различные версии QTS, QuTS Hero и QuTScloud, которые являются основными частями встроенного ПО для устройств QNAP NAS начального и среднего уровня, высокопроизводительных и корпоративных устройств NAS, а также облачных устройств NAS (соответственно).
QNAP выпускает обновления прошивки с исправлениями с начала января, хотя некоторые выпуски происходили в несколько этапов.
Администраторам рекомендуется обновить устройства QNAP NAS до фиксированной версии прошивки (если они еще этого не сделали). QNAP также объяснила, как они могут проверить, уязвима ли их система.
2024-02-14 10:38:33
1707911599
#QNAP #исправляет #ошибки #внедрения #команд #ОС #затрагивающие #устройства #NAS #CVE202347218 #CVE202350358
