Lỗ hổng zero-day QNAP QTS trong tính năng Chia sẻ bị khai thác RCE công khai

16:00 | 20/06/2024 | LỖ HỔNG ATTT
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS - hệ điều hành dành cho các sản phẩm NAS đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, trong đó có 11 lỗ hổng vẫn chưa được vá.

QNAP - hãng sản xuất các thiết bị NAS đã phản hồi các báo cáo về lỗ hổng bảo mật được gửi từ ngày 12/02/2023 đến ngày 23/1/2024 nhưng hiện mới khắc phục được 4 trong số 15 lỗ hổng.

Các lỗ hổng đã được phát hiện bởi WatchTowr Labs. Ngày 17/5/2024, WatchTowr Labs đã công bố chi tiết đầy đủ về phát hiện của mình và mã khai thác (PoC) cho CVE-2024-27130. Các lỗ hổng được WatchTowr phát hiện chủ yếu liên quan đến việc thực thi mã, tràn bộ đệm, hỏng bộ nhớ, bỏ qua xác thực và các lỗi XSS, gây ảnh hưởng đến tính bảo mật của các thiết bị NAS (Network Attached Storage) trên các môi trường triển khai khác nhau. Chúng ảnh hưởng đến QTS, hệ điều hành NAS trên các thiết bị QNAP, QuTScloud, phiên bản QTS được tối ưu hóa cho VM và QTS hero.

Lỗ hổng zero-day RCE

Trong đó, một lỗ hổng định danh CVE-2024-27130 là lỗ hổng tràn bộ đệm stack chưa được vá trong hàm 'No_Support_ACL' của 'share.cgi'. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trong một số điều kiện nhất định.

Lỗ hổng QNAP CVE-2024-27130 gây ra do việc sử dụng 'strcpy' trong hàm No_Support_ACL một cách không an toàn. Hàm này được sử dụng bởi yêu cầu get_file_size trong tập lệnh share.cgi.

Kẻ tấn công có thể tạo một yêu cầu độc hại với tham số 'name' có độ dài lớn để gây ra lỗi tràn bộ đệm dẫn đến thực thi mã từ xa.

Tuy nhiên, để khai thác thành công CVE-2024-27130, kẻ tấn công cần gửi một tham số 'ssid' hợp lệ, tham số này được tạo khi người dùng NAS chia sẻ tệp từ thiết bị QNAP của họ.

Tham số này được bao gồm trong URL của liên kết chia sẻ được tạo trên thiết bị, vì vậy, kẻ tấn công sẽ phải sử dụng một số kỹ thuật xã hội để có quyền truy cập vào thông số đó. Tuy nhiên, BleepingComputer nhận thấy rằng người dùng đôi khi chia sẻ các liên kết này trực tuyến, dẫn đến việc chúng có thể bị lập chỉ mục và truy xuất thông qua việc tìm kiếm trên Google.

QNAP đã phát hành bản cập nhật khẩn cấp cho CVE-2024-27130 và bốn lỗ hổng khác được WatchTowr phát hiện trong phiên bản từ QTS 5.1.7.2770 build 20240520 trở lên.

Để giảm thiếu các rủi ro tiềm ẩn, người dùng nên thường xuyên kiểm tra và cập nhật hệ thống của mình lên phiên bản mới nhất ngay khi các bản cập nhật được phát hành.

Danh sách 15 lỗ hổng QTS đã được WatchTowr phát hiện

- CVE-2023-50361: Sử dụng hàm sprintf theo cách không an toàn trong getQpkgDir được gọi từ userConfig.cgi.

- CVE-2023-50362: Sử dụng các hàm SQLite không an toàn có thể truy cập thông qua tham số addPersonalSmtp đến userConfig.cgi.

- CVE-2023-50363: Thiếu kiểm tra xác thực cho phép vô hiệu hóa xác thực hai yếu tố đối với người dùng bất kỳ.

- CVE-2023-50364: Vấn đề heap overflow thông qua tên thư mục dài khi liệt kê tệp được sử dụng bởi hàm get_dirs của PrivWizard.cgi.

- CVE-2024-21902: Thiếu kiểm tra xác thực cho phép tất cả người dùng xem hoặc xóa nhật ký hệ thống và thực hiện các hành động khác.

- CVE-2024-27127: Vấn đề double-free trong utilRequest.cgi thông qua hàm delete_share.

- CVE-2024-27128: Vấn đề Stack overflow trong hàm check_email, có thể truy cập thông qua hàm share_file và send_share_mail của utilRequest.cgi.

- CVE-2024-27129: Sử dụng strcpy theo cách không an toàn trong hàm get_tree của utilRequest.cgi.

- CVE-2024-27130: Sử dụng strcpy theo cách không an toàn trong No_Support_ACL có thể truy cập thông qua hàm get_file_size của share.cgi.

- CVE-2024-27131: Giả mạo log thông qua x-forwarded-for

- WT-2023-0050: Lỗ hổng gây gián đoạn hoạt động cho hệ thống

- WT-2024-0004 và WT-2024-0005: lỗ hổng Stored XSS trong chức năng thông báo log hệ thống từ xa và phát hiện thiết bị từ xa

- WT-2024-0006: Thiếu giới hạn truy cập đối với API xác thực.

- WT-2024-00XX: Hiện chưa được tiết lộ.

Hà Phương

Tin cùng chuyên mục

Tin mới