Un audit de sécurité approfondi de QNAP QTS, le système d’exploitation des produits NAS de l’entreprise, a révélé quinze vulnérabilités de gravité variable, dont onze non corrigées.

Parmi eux se trouve CVE-2024-27130, une vulnérabilité de débordement de tampon de pile non corrigée dans la fonction ‘No_Support_ACL’ de ‘ share.cgi,  » qui pourrait permettre à un attaquant d’exécuter du code à distance lorsque des conditions préalables spécifiques sont remplies.

Le fournisseur a répondu aux rapports de vulnérabilité soumis entre le 12 décembre 2023 et le 23 janvier 2024, avec de multiples retards et n’a corrigé que quatre des quinze failles.

Les vulnérabilités ont été découvertes par WatchTowr Labs, qui a publié vendredi les détails complets de leurs découvertes et un exploit de preuve de concept (PoC) pour CVE-2024-27130.

Les vulnérabilités de QTS
Les failles découvertes par les analystes de WatchTowr sont principalement liées à l’exécution de code, aux débordements de mémoire tampon, à la corruption de la mémoire, au contournement de l’authentification et aux problèmes XSS, affectant la sécurité des périphériques de stockage en réseau (NAS) dans différents environnements de déploiement.

WatchTowr répertorie un total de quinze défauts, résumés comme suit:

  • CVE-2023-50361: Utilisation non sécurisée de sprintf dans getQpkgDir invoquée depuis userConfig.en images de synthèse.
  • CVE-2023-50362: Utilisation non sécurisée des fonctions SQLite accessibles via le paramètre addPersonalSmtp à userConfig.en images de synthèse.
  • CVE-2023-50363: L’authentification manquante permet de désactiver l’authentification à deux facteurs pour des utilisateurs arbitraires.
  • CVE-2023-50364: Débordement de tas via un nom de répertoire long lorsque la liste des fichiers est affichée par la fonction get_dirs de privWizard.en images de synthèse.
  • CVE-2024-21902: L’authentification manquante permet à tous les utilisateurs d’afficher ou d’effacer les journaux système et d’effectuer des actions supplémentaires.
  • CVE-2024-27127: Une double gratuité dans utilRequest.cgi via la fonction supprimer_partage.
  • CVE-2024-27128: Débordement de pile dans la fonction check_email, accessible via les actions share_file et send_share_mail d’utilRequest.en images de synthèse.
  • CVE-2024 – 27129: Utilisation non sécurisée de strcpy dans la fonction get_tree de utilRequest.en images de synthèse.
  • CVE-2024-27130: Utilisation non sécurisée de strcpy dans No_Support_ACL accessible par la fonction get_file_size de share.en images de synthèse.
  • CVE-2024-27131: L’usurpation de journal via x-forwarded-for permet aux utilisateurs de provoquer l’enregistrement des téléchargements comme demandé à partir d’emplacements sources arbitraires.
  • WT-2023-0050: Sous embargo prolongé en raison d’un problème étonnamment complexe.
  • WT-2024-0004: XSS stocké via des messages syslog distants.
  • WT-2024-0005: XSS stocké via la découverte de périphérique à distance.
  • WT-2024-0006: Absence de limitation de débit sur l’API d’authentification.
  • WT-2024-00XX: Embargo de moins de 90 jours selon le PDV.

Les bogues ci-dessus ont un impact sur QTS, le système d’exploitation NAS sur les appareils QNAP, QuTScloud, la version optimisée pour les machines virtuelles de QTS, et QTS hero, une version spécialisée axée sur les hautes performances.

QNAP a résolu les problèmes CVE-2023-50361 à CVE-2023-50364 dans une mise à jour de sécurité publiée en avril 2024, dans les versions QTS 5.1.6.2722 build 20240402 et versions ultérieures, et QUTS hero h5.1.6.2734 build 20240414 et versions ultérieures.

Cependant, toutes les autres vulnérabilités découvertes par WatchTowr restent sans réponse.

PoC pour l’ECR jour zéro
La vulnérabilité QNAP CVE-2024-27130 est causée par l’utilisation non sécurisée de la fonction ‘strcpy’ dans la fonction No_Support_ACL. Cette fonction est utilisée par la requête get_file_size dans le partage.script cgi, utilisé lors du partage de médias avec des utilisateurs externes.

Un attaquant peut créer une requête malveillante avec un paramètre ‘name’ spécialement conçu, provoquant un débordement de tampon conduisant à l’exécution de code à distance.

Pour exploiter CVE-2024-27130, l’attaquant a besoin d’un paramètre ‘ssid’ valide, qui est généré lorsqu’un utilisateur NAS partage un fichier à partir de son appareil QNAP.

Ce paramètre est inclus dans l’URL du lien « partager » créé sur un appareil, de sorte qu’un attaquant devrait utiliser une ingénierie sociale pour y accéder. Cependant, Breachtrace a constaté que les utilisateurs partagent parfois ces liens en ligne, ce qui leur permet d’être indexés et récupérés à partir d’une simple recherche Google.

Boîte de dialogue de partage de fichier (en haut) et ssid dans l’URL (en bas)

En résumé, CVE-2024-27130 n’est pas simple à exploiter, mais le prérequis SSID peut être rempli pour des acteurs déterminés.

WatchTowr a publié un exploit sur GitHub, dans lequel ils montrent comment créer une charge utile qui crée un compte « watchtowr » sur un appareil QNAP et les ajoute aux sudoers pour des privilèges élevés.

Breachtrace a contacté QNAP pour obtenir une déclaration sur les failles divulguées, mais aucun commentaire n’était immédiatement disponible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *