Lỗ hổng zero-day trong tính năng Share bị khai thác công khai
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS, hệ điều hành dành cho các sản phẩm NAS của công ty, đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, 11 lỗ hổng trong số này vẫn chưa được vá.
Nhà cung cấp đã phản hồi các báo cáo về lỗ hổng bảo mật được gửi từ ngày 12 tháng 12 năm 2023 đến ngày 23 tháng 1 năm 2024 nhưng hiện mới khắc phục được 4 trong số 15 lỗ hổng. Các lỗ hổng đã được phát hiện bởi WatchTowr Labs. Họ đã công bố chi tiết đầy đủ về phát hiện của mình và mã khai thác (PoC) cho CVE-2024-27130 vào thứ sáu vừa qua.
Lỗ hổng QNAP CVE-2024-27130 gây ra do việc sử dụng 'strcpy' trong hàm No_Support_ACL một cách không an toàn. Hàm này được sử dụng bởi yêu cầu get_file_size trong tập lệnh share.cgi.
Kẻ tấn công có thể tạo một yêu cầu độc hại với tham số 'name' có độ dài lớn để gây ra lỗi tràn bộ đệm dẫn đến thực thi mã từ xa.
Tuy nhiên, để khai thác thành công CVE-2024-27130, kẻ tấn công cần gửi một tham số 'ssid' hợp lệ, tham số này được tạo khi người dùng NAS chia sẻ tệp từ thiết bị QNAP của họ.
Tham số này được bao gồm trong URL của liên kết chia sẻ được tạo trên thiết bị, vì vậy, kẻ tấn công sẽ phải sử dụng một số kỹ thuật xã hội để có quyền truy cập vào thông số đó. Tuy nhiên, BleepingComputer nhận thấy rằng người dùng đôi khi chia sẻ các liên kết này trực tuyến, dẫn đến việc chúng có thể bị lập chỉ mục và truy xuất thông qua việc tìm kiếm trên Google.
QNAP đã phát hành bản cập nhật khẩn cấp cho CVE-2024-27130 và bốn lỗ hổng khác được WatchTowr phát hiện trong phiên bản từ QTS 5.1.7.2770 build 20240520 trở lên.
Để giảm thiếu các rủi ro tiềm ẩn, người dùng nên thường xuyên kiểm tra và cập nhật hệ thống của mình lên phiên bản mới nhất ngay khi các bản cập nhật được phát hành.
Danh sách 15 lỗ hổng QTS đã được WatchTowr phát hiện
- CVE-2023-50361: Sử dụng hàm sprintf theo cách không an toàn trong getQpkgDir được gọi từ userConfig.cgi.
- CVE-2023-50362: Sử dụng các hàm SQLite không an toàn có thể truy cập thông qua tham số addPersonalSmtp đến userConfig.cgi.
- CVE-2023-50363: Thiếu kiểm tra xác thực cho phép vô hiệu hóa xác thực hai yếu tố đối với người dùng bất kỳ.
- CVE-2023-50364: Vấn đề heap overflow thông qua tên thư mục dài khi liệt kê tệp được sử dụng bởi hàm get_dirs của PrivWizard.cgi.
- CVE-2024-21902: Thiếu kiểm tra xác thực cho phép tất cả người dùng xem hoặc xóa nhật ký hệ thống và thực hiện các hành động khác.
- CVE-2024-27127: Vấn đề double-free trong utilRequest.cgi thông qua hàm delete_share.
- CVE-2024-27128: Vấn đề Stack overflow trong hàm check_email, có thể truy cập thông qua hàm share_file và send_share_mail của utilRequest.cgi.
- CVE-2024-27129: Sử dụng strcpy theo cách không an toàn trong hàm get_tree của utilRequest.cgi.
- CVE-2024-27130: Sử dụng strcpy theo cách không an toàn trong No_Support_ACL có thể truy cập thông qua hàm get_file_size của share.cgi.
- CVE-2024-27131: Giả mạo log thông qua x-forwarded-for
- WT-2023-0050: Lỗ hổng gây gián đoạn hoạt động cho hệ thống
- WT-2024-0004 và WT-2024-0005: lỗ hổng Stored XSS trong chức năng thông báo log hệ thống từ xa và phát hiện thiết bị từ xa
- WT-2024-0006: Thiếu giới hạn truy cập đối với API xác thực.
- WT-2024-00XX: Hiện chưa được tiết lộ.
Theo PV