Legacy QNAP NAS-systeem door kwetsbaarheid op afstand over te nemen
Twee kwetsbaarheden in een NAS-systeem van fabrikant QNAP maken het voor een aanvaller mogelijk om het systeem op afstand en zonder authenticatie over te nemen. Een beveiligingsupdate is nog niet beschikbaar gemaakt. De beveiligingslekken zijn onder andere aanwezig in de QNAP TS-231. Dit NAS-systeem wordt niet meer door QNAP ondersteund. Toch maakt de fabrikant vanwege de impact een uitzondering en heeft updates aangekondigd.
De eerste kwetsbaarheid, CVE-2020-2509, maakt remote code execution mogelijk, en is verholpen in QTS-firmware versie 4.5.2.1566 (build 20210202) en versie 4.5.1.1495 (build 20201123). Firmwareversies hiervoor zijn kwetsbaar. Het probleem is aanwezig in de NAS-webserver en laat een aanvaller die hier toegang toe heeft willekeurige shellcommando's uitvoeren. De aanvaller hoeft zich niet eerst te authenticeren.
De tweede kwetsbaarheid, CVE-2021-36195, laat een aanvaller die toegang tot de DLNA-server van het NAS-systeem heeft willekeurige data naar elke locatie toeschrijven. Ook kan dit lek worden gebruikt om willekeurige commando's op het systeem uit te voeren. Wederom is authenticatie niet vereist. De onderzoekers hebben een demonstratie gemaakt waarin ze laten zien hoe kwetsbare NAS-systemen zijn over te nemen.
De beveiligingslekken werden gevonden door onderzoekers van SAM Seamless Network. Aangezien er nog geen updates voor de QNAP TS-231 beschikbaar zijn hebben ze uitgebreide details achterwege gelaten. QNAP werd op 12 oktober vorig jaar ingelicht. De NAS-fabrikant laat tegenover Threatpost weten dat de kwetsbaarheden in QTS 4.5.2.1566 (build 20210202) en QTS 4.5.1.1495 (build 20201123) zijn verholpen. De release notes melden dat er kwetsbaarheden in verschillende onderdelen zijn opgelost, maar geven geen CVE-nummers of specifieke details.
De QNAP TS-231 is inmiddels end-of-life, wat inhoudt dat de NAS geen beveiligingsupdates meer ontvangt. Toch laat QNAP weten dat het vanwege de impact van de kwetsbaarheden ook voor dit legacy model op korte termijn met updates komt. Volgens de onderzoekers lopen tienduizenden QNAP NAS-systemen die vanaf internet toegankelijk zijn risico.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.