Legacy QNAP NAS-systeem door kwetsbaarheid op afstand over te nemen
Twee kwetsbaarheden in een NAS-systeem van fabrikant QNAP maken het voor een aanvaller mogelijk om het systeem op afstand en zonder authenticatie over te nemen. Een beveiligingsupdate is nog niet beschikbaar gemaakt. De beveiligingslekken zijn onder andere aanwezig in de QNAP TS-231. Dit NAS-systeem wordt niet meer door QNAP ondersteund. Toch maakt de fabrikant vanwege de impact een uitzondering en heeft updates aangekondigd.
De eerste kwetsbaarheid, CVE-2020-2509, maakt remote code execution mogelijk, en is verholpen in QTS-firmware versie 4.5.2.1566 (build 20210202) en versie 4.5.1.1495 (build 20201123). Firmwareversies hiervoor zijn kwetsbaar. Het probleem is aanwezig in de NAS-webserver en laat een aanvaller die hier toegang toe heeft willekeurige shellcommando's uitvoeren. De aanvaller hoeft zich niet eerst te authenticeren.
De tweede kwetsbaarheid, CVE-2021-36195, laat een aanvaller die toegang tot de DLNA-server van het NAS-systeem heeft willekeurige data naar elke locatie toeschrijven. Ook kan dit lek worden gebruikt om willekeurige commando's op het systeem uit te voeren. Wederom is authenticatie niet vereist. De onderzoekers hebben een demonstratie gemaakt waarin ze laten zien hoe kwetsbare NAS-systemen zijn over te nemen.
De beveiligingslekken werden gevonden door onderzoekers van SAM Seamless Network. Aangezien er nog geen updates voor de QNAP TS-231 beschikbaar zijn hebben ze uitgebreide details achterwege gelaten. QNAP werd op 12 oktober vorig jaar ingelicht. De NAS-fabrikant laat tegenover Threatpost weten dat de kwetsbaarheden in QTS 4.5.2.1566 (build 20210202) en QTS 4.5.1.1495 (build 20201123) zijn verholpen. De release notes melden dat er kwetsbaarheden in verschillende onderdelen zijn opgelost, maar geven geen CVE-nummers of specifieke details.
De QNAP TS-231 is inmiddels end-of-life, wat inhoudt dat de NAS geen beveiligingsupdates meer ontvangt. Toch laat QNAP weten dat het vanwege de impact van de kwetsbaarheden ook voor dit legacy model op korte termijn met updates komt. Volgens de onderzoekers lopen tienduizenden QNAP NAS-systemen die vanaf internet toegankelijk zijn risico.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Corporate Information Security & Privacy Officer
Serieuze impact maken met jouw bijdrage op het gebied van Privacy en Informatie-veiligheid? Wil jij werken voor een organisatie die de vitaliteit en gezondheid van werk-nemers écht belangrijk vindt en waarbij je zelf je tijd kan indelen? Het kan in jouw rol als Corporate Information Security & Privacy Officer bij Arbo Unie.
Informatiebeveiligingsfunctionaris
Dienst Terugkeer en Vertrek (DT&V)
Pentests coördineren, kwetsbaarheden iden-tificeren, de organisatie adviseren en het ISMS beheren. Werken op de manier die voor jou prettig werkt. De vrijheid krijgen om eigen initiatieven uit te voeren en continu te leren. Gewaardeerd worden door collega’s, door zelf waarde toe te voegen. Dit ben jij als informatiebeveiligsfunctionaris binnen de DT&V.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?