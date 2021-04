Twee kwetsbaarheden in een NAS-systeem van fabrikant QNAP maken het voor een aanvaller mogelijk om het systeem op afstand en zonder authenticatie over te nemen. Een beveiligingsupdate is nog niet beschikbaar gemaakt. De beveiligingslekken zijn onder andere aanwezig in de QNAP TS-231. Dit NAS-systeem wordt niet meer door QNAP ondersteund. Toch maakt de fabrikant vanwege de impact een uitzondering en heeft updates aangekondigd.

De eerste kwetsbaarheid, CVE-2020-2509, maakt remote code execution mogelijk, en is verholpen in QTS-firmware versie 4.5.2.1566 (build 20210202) en versie 4.5.1.1495 (build 20201123). Firmwareversies hiervoor zijn kwetsbaar. Het probleem is aanwezig in de NAS-webserver en laat een aanvaller die hier toegang toe heeft willekeurige shellcommando's uitvoeren. De aanvaller hoeft zich niet eerst te authenticeren.

De tweede kwetsbaarheid, CVE-2021-36195, laat een aanvaller die toegang tot de DLNA-server van het NAS-systeem heeft willekeurige data naar elke locatie toeschrijven. Ook kan dit lek worden gebruikt om willekeurige commando's op het systeem uit te voeren. Wederom is authenticatie niet vereist. De onderzoekers hebben een demonstratie gemaakt waarin ze laten zien hoe kwetsbare NAS-systemen zijn over te nemen.

De beveiligingslekken werden gevonden door onderzoekers van SAM Seamless Network. Aangezien er nog geen updates voor de QNAP TS-231 beschikbaar zijn hebben ze uitgebreide details achterwege gelaten. QNAP werd op 12 oktober vorig jaar ingelicht. De NAS-fabrikant laat tegenover Threatpost weten dat de kwetsbaarheden in QTS 4.5.2.1566 (build 20210202) en QTS 4.5.1.1495 (build 20201123) zijn verholpen. De release notes melden dat er kwetsbaarheden in verschillende onderdelen zijn opgelost, maar geven geen CVE-nummers of specifieke details.

De QNAP TS-231 is inmiddels end-of-life, wat inhoudt dat de NAS geen beveiligingsupdates meer ontvangt. Toch laat QNAP weten dat het vanwege de impact van de kwetsbaarheden ook voor dit legacy model op korte termijn met updates komt. Volgens de onderzoekers lopen tienduizenden QNAP NAS-systemen die vanaf internet toegankelijk zijn risico.