Ciência e Tecnologia

Patches urgentes disponíveis para vulnerabilidades da QNAP, um dia 0 • Strong The One

Foto de Strong Strongabril 11, 2024
0 4 minutos de leitura

.

A QNAP, especialista em armazenamento conectado à rede (NAS), divulgou e lançou correções para duas novas vulnerabilidades, uma delas de dia zero descoberta no início de novembro.

A divulgação coordenada dos problemas pela empresa taiwanesa aos investigadores da Unidade 42 pela Palo Alto Networks, no entanto, levou a alguma confusão sobre a gravidade do problema de segurança.

A QNAP atribuiu ao CVE-2023-50358 uma pontuação de gravidade média de 5,8 em 10, cuja análise revelou que foi classificado como um ataque de alta complexidade que teria um impacto baixo se explorado com sucesso.

Artigos relacionados

A avaliação da Unidade 42, por outro lado, foi totalmente oposta: “Essas vulnerabilidades de execução remota de código que afetam os dispositivos IoT exibem uma combinação de baixa complexidade de ataque e impacto crítico, tornando-as um alvo irresistível para os agentes de ameaças. Como resultado, protegendo os dispositivos IoT contra tais ameaças é uma tarefa urgente.”

O Escritório Federal Alemão para Segurança da Informação (BSI) também divulgou hoje um alerta de emergência alertando que explorações bem-sucedidas podem levar a “grandes danos”, incentivando os usuários a aplicar patches rapidamente.

No momento em que este artigo foi escrito, o Banco de Dados Nacional de Vulnerabilidades (NVD) ainda estava trabalhando para atribuir à vulnerabilidade uma classificação independente.

Normalmente, vulnerabilidades de injeção de comando que são fáceis de explorar tendem a atrair pontuações de gravidade no extremo superior da escala, por isso será interessante ver qual será a pontuação do NVD.

De acordo com as varreduras de dispositivos vulneráveis ​​na Internet da Unit42 realizadas em meados de janeiro, 289.665 endereços IP separados registraram um dispositivo vulnerável voltado ao público.

A Alemanha e os EUA foram os mais expostos, com 42.535 e 36.865 dispositivos vulneráveis, respectivamente, enquanto a China, Itália, Japão, Taiwan e França seguiram cada um com mais de 10.000 dispositivos expostos.

Explorando CVE-2023-50358

Ao contrário da QNAP, a Unidade 42 publicou uma análise técnica do CVE-2023-50358 e como explorar a vulnerabilidade.

É classificado como uma falha de injeção de comando no componente quick.cgi do firmware QTS da QNAP, que roda na maioria de seus dispositivos NAS.

“Ao definir o parâmetro de solicitação HTTP todo = set_timeinfo, o manipulador de solicitação em quick.cgi salva o valor do parâmetro SPECIFIC_SERVER em um arquivo de configuração /tmp/quick/quick_tmp.conf com o nome de entrada Endereço NTP”, explicaram os pesquisadores.

“Depois de escrever o endereço do servidor NTP, o componente inicia a sincronização de horário usando o utilitário ntpdate. A execução da linha de comando é construída lendo o endereço NTP em quick_tmp.conf, e essa string é então executada usando system().

“Dados não confiáveis ​​do parâmetro SPECIFIC_SERVER são, portanto, usados ​​para construir uma linha de comando a ser executada no shell, resultando na execução arbitrária de comandos.”

Dobrar

O comunicado da QNAP também detalhou correções para uma segunda falha de injeção de comando, CVE-2023-47218, que foi relatada por Stephen Fewer, principal pesquisador de segurança da Rapid7, e também recebeu a mesma pontuação de gravidade de 5,8.

O próprio comunicado combina ambas as vulnerabilidades e não fornece detalhes técnicos para nenhuma delas, por isso é difícil determinar quais são as diferenças apenas com isso.

O comunicado do Rapid7, no entanto, fornece muitos detalhes sobre como o CVE-2023-47218 também está no componente quick.cgi, permitindo a injeção de comando, e como ele pode ser explorado de maneira viável usando uma solicitação HTTP POST especialmente criada.

Os detalhes do cronograma de divulgação também ofereceram um vislumbre do que parece ser um Rapid7 um pouco irritado depois que a QNAP ficou em silêncio e publicou seus patches antes do acordado.

Depois de concordar com uma data de divulgação coordenada para as vulnerabilidades de 7 de fevereiro em dezembro, em 25 de janeiro a QNAP disse ao Rapid7 que já havia lançado os patches. Isso se seguiu a mais de duas semanas de silêncio de rádio do lançador do NAS depois que o Rapid7 solicitou uma atualização de progresso.

A QNAP também pediu à Rapid7 que adiasse a publicação do seu comunicado para 26 de fevereiro, quase três semanas após a data original acordada, o que não parece ter sido recebido calorosamente.

Tantos patches

Em vez de focar nos detalhes técnicos das vulnerabilidades, o foco principal da QNAP com a sua divulgação parece ser destacar os diferentes patches disponíveis para diferentes versões de firmware. QTS, QuTS hero e QuTAcloud são impactados de forma diferente e cada versão tem sua própria recomendação de atualização específica.

Produto afetado Gravidade Versão parcialmente corrigida Versão totalmente corrigida
QTS 5.1.x Médio QTS 5.1.0.2444 compilação 20230629 e posterior QTS 5.1.5.2645 compilação 20240116 e posterior
QTS 5.0.1 Médio QTS 5.0.1.2145 compilação 20220903 e posterior QTS 5.1.5.2645 compilação 20240116 e posterior
QTS 5.0.0 Alto QTS 5.0.0.1986 compilação 20220324 e posterior QTS 5.1.5.2645 compilação 20240116 e posterior
QTS 4.5.x, 4,4,x Alto QTS 4.5.4.2012 compilação 20220419 e posterior QTS 4.5.4.2627 compilação 20231225 e posterior
QTS 4.3.6, 4.3.5 Alto QTS 4.3.6.2665 compilação 20240131 e posterior QTS 4.3.6.2665 compilação 20240131 e posterior
QTS 4.3.4 Alto QTS 4.3.4.2675 compilação 20240131 e posterior QTS 4.3.4.2675 compilação 20240131 e posterior
QTS 4.3.x Alto QTS 4.3.3.2644 compilação 20240131 e posterior QTS 4.3.3.2644 compilação 20240131 e posterior
QTS 4.2.x Alto QTS 4.2.6 compilação 20240131 e posterior QTS 4.2.6 compilação 20240131 e posterior
Herói QTS h5.1.x Médio QuTS hero h5.1.0.2466 build 20230721 e posterior QuTS hero h5.1.5.2647 build 20240118 e posterior
Herói QTS h5.0.1 Médio QuTS hero h5.0.1.2192 build 20221020 e posterior QuTS hero h5.1.5.2647 build 20240118 e posterior
Herói QTS h5.0.0 Alto QuTS hero h5.0.0.1986 build 20220324 e posterior QuTS hero h5.1.5.2647 build 20240118 e posterior
Herói QuTS h4.x Alto QuTS hero h4.5.4.1991 build 20220330 e posterior QuTS hero h4.5.4.2626 build 20231225 e posterior
QuTScloud c5.x Alto QuTScloud c5.1.5.2651 e posterior QuTScloud c5.1.5.2651 e posterior

O conselho geral, como sempre, é atualizar para a versão mais recente disponível, embora o aviso da QNAP também forneça etapas de mitigação caso as atualizações não possam ser aplicadas imediatamente.

Curiosamente, ele também lista diferentes versões de firmware afetadas em diferentes graus, atribuindo diferentes classificações de gravidade para diferentes versões de firmware. O fornecedor não explica por que isso acontece.

As vulnerabilidades divulgadas hoje são as mais recentes de uma linha bastante extensa de falhas de injeção de comando que afetam o firmware QTS e QuTS.

Só neste ano, menos de dois meses depois, 15 avisos de segurança diferentes foram lançados para divulgar 12 vulnerabilidades diferentes de injeção de comando que afetam vários dispositivos. ®

.

Etiquetas
Foto de Strong Strongabril 11, 2024
0 4 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

Como ativar ou desativar a escrita com a ponta dos dedos no Windows

maio 5, 2023

O Android está preparando resumos de notificação. Vamos torcer para que seja melhor do que iOS

março 14, 2025

A Verizon agora permite que você teste sua rede 5G gratuitamente por 30 dias sem compromisso

março 23, 2023

Esta popular bateria portátil Anker nunca foi tão barata antes

setembro 10, 2023

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo