Door _R0N_: Ja zoveel doosjes met embedded Linux zullen kwetsbaar zijn.

Door meinonA: Alleen maar als je al local access had. Zonder SSH- of Telnet-access is er niks aan de hand.

Door Anoniem 20:36:
Natuurlijk wel - een (andere) bug in de webserver kan ook dezelfde exploit draaien .
Die webserver-user is net zo goed "local" .

Door buttonius:
Echt niet.
Met SSH toegang kun je je eigen code uploaden (als broncode en dan compileren) en vervolgens uitvoeren. Daarmee is zo ongeveer elke unix/linux systemcall beschikbaar.
Als je alleen tegen een webserver kunt "praten" heb je, om te beginnen, te maken met de (zeer grondige) input sanitation van die web server.

Als je input daar doorheen komt was jouw input een geldig http request en de naam van een bestand op de server (en eventueel wat argumenten). De web server zal dan dat bestand voor je openen en het resultaat terugsturen. Je kunt dus alleen bestaande bestanden lezen of runnen en alleen voorzover de web server configuratie dat toestaat.

Door buttonius:
Echt niet.
Met SSH toegang kun je je eigen code uploaden (als broncode en dan compileren) en vervolgens uitvoeren. Daarmee is zo ongeveer elke unix/linux systemcall beschikbaar.
Als je alleen tegen een webserver kunt "praten" heb je, om te beginnen, te maken met de (zeer grondige) input sanitation van die web server. Als je input daar doorheen komt was jouw input een geldig http request en de naam van een bestand op de server (en eventueel wat argumenten). De web server zal dan dat bestand voor je openen en het resultaat terugsturen. Je kunt dus alleen bestaande bestanden lezen of runnen en alleen voorzover de web server configuratie dat toestaat.

Door Anoniem:
Natuurlijk wel - een (andere) bug in de webserver kan ook dezelfde exploit draaien .
Die webserver-user is net zo goed "local" .

Door Anoniem:

Dit ruikt naar flame bait.

Door Anoniem: Degene op wie je antwoordde (dat was ik niet) gaf al aan waarom dat niet klopt. Jij redeneert alsof die webserver geen bug kan bevatten. Dat kan wel. Als die bug een aanvaller in staat stelt om foute dingen te doen is dat een remote exploit, waarmee die toegang kan krijgen tot local exploits, zoals Dirty Frag. Je bent beter beschermd tegen aanvallers naarmate die meer beveiligingen moet zien te doorbreken. Het is onverstandig om te redeneren alsof de eerste beveiliging onfeilbaar is en wat daarna komt rustig lek mag zijn. Als de eerste dan toch niet onfeilbaar blijkt te zijn is het risico groot dat je meteen de pineut bent, en dat wil je niet.

Het is niet per se zo dat een HTTP-request naar een bestand op de webserver verwijst. Het is ook mogelijk dat alle requests, of alle requests onder een bepaald pad, of alle requests die aan een bepaald patroon voldoen, worden doorgesluisd naar code die vervolgens helemaal vrij is in hoe het de requests verder afhandelt. En helemaal vrij betekent dat er geen bestandsnaam in voor hoeft te komen, de enige vereiste is dat de webserver de gewenste response terugkrijgt van die code.

Kijk bijvoorbeeld naar de URL van de pagina waar we nu op zitten:

https://www.security.nl/posting/936111/Veel+QNAP+NAS-systemen+kwetsbaar+voor+Linux+Dirty+Frag-lek

Daar begint het pad binnen de site met "posting", dan volgt een nummer, dan de titel van de pagina. Als je die titel verandert in iets anders wordt nog steeds dezelfde pagina getoond. Kennelijk doet die tekst niets anders dan de URL voor mensen herkenbaar maken. Als je het nummer aanpast krijg je een andere pagina, of een redirect naar een specifieke reactie met dat nummer, of als je naar niets bekends verwijst de startpagina van de site. Kennelijk identificeert dat nummer wat je opvraagt. Is dat nummer een bestandsnaam? Dat is mogelijk, dat kunnen we van buiten niet zien (tenzij iemand een lek in deze site weten te exploiteren wellicht), maar het is ook heel goed mogelijk dat het een sleutel is waarmee de gewenste artikeltekst uit een databasetabel wordt opgehaald, de bijbehorende reactieteksten uit een andere tabel, en dat code op de server daar dynamisch de pagina uit opbouwt die we zien. Dan zit er geen bestandsnaam in de URL maar een sleutelwaarde.

Door Anoniem:
Nee, alleen maar een junior die nog te weinig gezien heeft, en blijkbaar niet weet dat een webserver ook nogal eens scripten aanroept en niet alleen maar statische content terugstuurt .

Er komen toch vaak genoeg 'management url exploits' van allerlei platformen langs om niet meer zo'n naief vertrouwen te hebben in "de webserver doet strikte validatie en stuurt alleen bestand terug' maar ja ....

Door Anoniem: Ja hoor daar is ie weer, hij die de ander eerst kleineert (junior) en vervolgens denkt te weten wat een ander niet weet omdat het subonderwerp niet is aangeroerd. Verschrikkelijk nare manier van reageren. Voor jouw info. Mensen zijn klaar met windows 11 om heel veel redenen en HP ook: https://www.youtube.com/watch?v=BqtN0vsSnLQ

Door Anoniem:
Natuurlijk wel - een (andere) bug in de webserver kan ook dezelfde exploit draaien .
Die webserver-user is net zo goed "local" .

Niks mis mee om klaar te zijn met Windows .
Ik ga geen kwartier kijkend naar een pratende kop van een vlogger met een drama stem voor een vaag nieuwtje en een ontzettend clickbait titel (EXPOSED , STUNNING) . Enige wat nog mistte was "the REAL REASON" ) - maar blijkbaar doet HP iets anders met Windows installaties. Prima .


Het is alleen maar naief (en dom) om dan zo hard te geloven dat je maar onkwetsbaar bent als iets op Linux draait - of denken dat de webserver (of de CIFS server) ook bugvrij is.

Nagenoeg eerste hit als je even zoekt :

https://www.qnap.com/en/security-advisory/qsa-26-04 Apache bug.

Oh, "geen andere bug in de webserver" . Whataver.
Nog een stuk of dertig CVEs van dit jaar op de QNAP advisory page. Ik heb niet gekeken of en welke relevant kunnen zijn om (daarna) met copy fail ook privilege escalation te bereiken, maar haast zeker zit er wat tussen wat geschikt is.
Ik heb geen qnap, niet mijn probleem - wel een probleem als je denk dat (alleen) SSH access exploits mogelijk kan maken - haast altijd zijn er op een platform meerdere gaten .

Gewoon leerpuntje : een probleem komt zelden alleen, en erg veel hacks berusten uiteindelijk op een combinatie van een paar vulnerabilities - eentje om binnen te komen en een andere om meer rechten te krijgen . Soms een combinatie nog meer.
Je herkent de junioren of OS-fanboys gewoon aan het niet verder denken dan een recht toe recht aan exploit van de ene bug vanaf een volledige shell user .

Door Anoniem: Klets verhaal. Er is geen belangrijke bug bekend van hun webserver. SSH uitschakelen voor gewone gebruiker voldoet en de patch zal snel komen.

Door Anoniem: Ja hoor daar is ie weer, hij die de ander eerst kleineert (junior) en vervolgens denkt te weten wat een ander niet weet omdat het subonderwerp niet is aangeroerd. Verschrikkelijk nare manier van reageren. Voor jouw info.

Mensen zijn klaar met windows 11 om heel veel redenen en HP ook: https://www.youtube.com/watch?v=BqtN0vsSnLQ

Door Anoniem: Maar die webserver heeft geen bugs, dus nog niet relevant. Ik heb trouwens die webserver standaard uit. Admin via 1 gebruiker met ssh. Niet kwetsbaar dus. De meesten zullen dit consumenten apparaat alleen thuis in local netwerk draaien. Al helemaal niet kwedsbaar dus.

Door Anoniem:
Ben ik blij dat jij niet bij ons in het beheer team zit. Patch snel komen, is leuk, maar heel veel appliances lopen flink achter. Ook menige publieke services die op linux gehost wordt ook.
Als je daar nu een exploit op zou kunnen uitvoeren, zou dat normaal onder de rechten gebeuren van dat proces en met deze "bug" dan je dus gemakkelijk root worden.

https://www.security.nl/posting/936207/3500+Wazuh-servers+missen+update+voor+kritiek+path+traversal-lek

Je security bewustheid is een zwaar onvoldoende.

Door Anoniem:
Ben ik blij dat jij niet bij ons in het beheer team zit. Patch snel komen, is leuk, maar heel veel appliances lopen flink achter. Ook menige publieke services die op linux gehost wordt ook.
Als je daar nu een exploit op zou kunnen uitvoeren, zou dat normaal onder de rechten gebeuren van dat proces en met deze "bug" dan je dus gemakkelijk root worden.

https://www.security.nl/posting/936207/3500+Wazuh-servers+missen+update+voor+kritiek+path+traversal-lek

Je security bewustheid is een zwaar onvoldoende.

Nee de post waarop hij reageer is overduidelijk van of een troll, of iemand de geen kennis van zaken heeft.

Nee hoor, dat een leverancier dit bedenkt, wil niet zeggen dat het ook een groot succes gaat worden.
Meestal sterven dit soort ideetjes met een stille dood.

Door Anoniem: QNAP dus niet, waarbij QNAP ook nog een diverse services aanbied via http, vaak ook op het Internet.

Dus JA, welk kwetsbaar. Menige bug kom bij dit soort nassen naar voren iedere keer.

Door meinonA: Alleen maar als je al local access had. Zonder SSH- of Telnet-access is er niks aan de hand.

Door Anoniem:
Als er een andere RCE is dan kun je zo verder. Dat zal op meer firewalls en routers een issue kunnen zijn omdat juist deze apparaten ook ipsec oid gebruiken.
En dat kan op allelei manieren afhankelijk van de mogelijkheden van de interfaces.