欢迎光临
我们一直在努力

QNAP NAS 任意命令执行漏洞修复通告

 

近日监测到互联网上关于QNAP NAS任意命令执行漏洞利用链的公开,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面中。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

 

0x00 漏洞概述

QNAP NAS是威联通(QNAP Systems)公司的一套网络储存设备。用于家庭、SOHO族、以及中小企业用户

本次漏洞点在于Photo Station及CGI模块:
QNAP QTS是一套Turbo NAS作业系统。该系统可提供档案储存、管理、备份,多媒体应用及安全监控等功能,默认的WEB通讯端口为8080;QNAP Systems Photo Station是其一款照片管理和查看应用程序,用户可以将分散在多个终端设备的照片汇集到一起进行管理、编辑与分享。

研究员在19年报告了以下漏洞

  • CVE-2019-7192(CVSS 9.8)
  • CVE-2019-7193(CVSS 9.8)
  • CVE-2019-7194(CVSS 9.8)
  • CVE-2019-7195(CVSS 9.8)

漏洞的利用方式是第一次公开,尽管作者只披露了3个漏洞,但它们足以实现RCE利用链的构造。

 

0x01 漏洞详情

任意文件读取

该漏洞的触发原因在于exportFile()参数可控,且即使在未授权的情况下也可通过构造特定参数来绕过身份校验,从而造成任意文件读取漏洞

  • Bypass CHECK_ACCESS_CODE: Album ID & Access Code
  • Bypass CHECK_ACCESS_CODE: Setting and Getting
  • Pre-Auth Local File Disclosure

任意代码注入

该漏洞的触发条件在于经过身份验证后在SMTP setting处存在代码注入

  • 通过前一步任意文件读取到/share/Multimedia/.@__thumb/ps.app.token进行身份验证,或者读取/etc/shadow尝试爆破用户账号密码登录后台
  • 在SMTP setting写入php代码后会序列化存储在SESSIONS文件中

任意命令执行

该漏洞的触发原因在于file_put_contents()可控,会SESSIONS文件反序列化后写到session_id()指定的web拼接目录

最终达到任意命令执行的效果

 

0x02 影响版本

此前版本均受影响
QTS:

  • QTS 4.4.1: build 20190918 and later
  • QTS 4.3.6: build 20190919 and later

Photo Station:

  • QTS 4.4.1: Photo Station 6.0.3 and later
  • QTS 4.3.4 – QTS 4.4.0: Photo Station 5.7.10 and later
  • QTS 4.3.0 – QTS 4.3.3: Photo Station 5.4.9 and later
  • QTS 4.2.6: Photo Station 5.2.11 and later

 

0x03 处置建议

请参考以下官方链接安装上述不受影响版本:
Installing the QTS Update

  1. 以管理员身份登录到QTS
  2. 进入控制面板 > 系统 > 固件更新
  3. 在”实时更新”下,单击”检查更新”,下载并安装最新的可用更新

Updating Photo Station

  1. 以管理员身份登录到QTS
  2. 在应用程序中找到”Photo Station”,进行更新

https://www.qnap.com/zh-tw/security-advisory/nas-201911-25

 

0x04 关于我们

灵腾安全实验室(REDTEAM)正式成立于2020年,隶属于360政企-实网威胁感知部;主攻研究方向包括红队技术、物理攻防、安全狩猎等前瞻技术,
360AISA全流量威胁分析系统360天相资产威胁与漏洞管理系统360虎安服务器安全管理系统360蜃景攻击欺骗防御系统 核心产品提供安全赋能。

 

0X05 Reference

https://medium.com/bugbountywriteup/qnap-pre-auth-root-rce-affecting-450k-devices-on-the-internet-d55488d28a05

赞(0) 打赏
未经允许不得转载:中国宏阔黑客联盟|白帽黑客|网络渗透技术|网站安全|移动安全|通信安全 » QNAP NAS 任意命令执行漏洞修复通告
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏