Ciberseguridad 360 | QNAP QTS zero-day in Share obtiene un exploit RCE público

Una exhaustiva auditor�a de seguridad de QNAP QTS, el sistema operativo de los productos NAS de la compa��a, ha descubierto quince vulnerabilidades de diversa gravedad, de las que once siguen sin corregirse.

Entre ellas se encuentra CVE-2024-27130, una vulnerabilidad de desbordamiento de b�fer de pila sin parchear en la funci�n 'No_Support_ACL' de 'share.cgi', que podr�a permitir a un atacante la ejecuci�n remota de c�digo cuando se cumplen determinados requisitos previos.

El proveedor respondi� a los informes de vulnerabilidades enviados entre el 12 de diciembre de 2023 y el 23 de enero de 2024 con m�ltiples retrasos y s�lo ha corregido cuatro de los quince fallos.

Las vulnerabilidades fueron descubiertas por WatchTowr Labs, que public� el viernes los detalles completos de sus hallazgos y una prueba de concepto (PoC) del exploit para CVE-2024-27130.

Las vulnerabilidades del QTS

Los fallos descubiertos por los analistas de WatchTowr est�n relacionados principalmente con la ejecuci�n de c�digo, desbordamientos de b�fer, corrupci�n de memoria, omisi�n de autenticaci�n y problemas de XSS, que afectan a la seguridad de los dispositivos de almacenamiento en red (NAS) en diferentes entornos de implementaci�n.

WatchTowr enumera un total de quince fallos, que se resumen a continuaci�n:

CVE-2023-50361: Uso inseguro de sprintf en getQpkgDir invocado desde userConfig.cgi.
CVE-2023-50362: Uso inseguro de funciones SQLite accesibles a trav�s del par�metro addPersonalSmtp de userConfig.cgi.
CVE-2023-50363: La falta de autenticaci�n permite deshabilitar la autenticaci�n de dos factores para usuarios arbitrarios.
CVE-2023-50364: Desbordamiento de heap a trav�s de un nombre de directorio largo cuando se visualiza el listado de archivos mediante la funci�n get_dirs de privWizard.cgi.
CVE-2024-21902: La falta de autenticaci�n permite a todos los usuarios ver o borrar los registros del sistema y realizar acciones adicionales.
CVE-2024-27127: Un doble-libre en utilRequest.cgi a trav�s de la funci�n delete_share.
CVE-2024-27128: Desbordamiento de pila en la funci�n check_email, accesible a trav�s de las acciones share_file y send_share_mail de utilRequest.cgi.
CVE-2024-27129: Uso inseguro de strcpy en la funci�n get_tree de utilRequest.cgi.
CVE-2024-27130: Uso inseguro de strcpy en No_Support_ACL accesible por la funci�n get_file_size de share.cgi.
CVE-2024-27131: La suplantaci�n de registros a trav�s de x-forwarded-for permite a los usuarios hacer que se registren descargas solicitadas desde ubicaciones de origen arbitrarias.
WT-2023-0050: Bajo embargo extendido debido a un problema inesperadamente complejo.
WT-2024-0004: XSS almacenado a trav�s de mensajes syslog remotos.
WT-2024-0005: XSS almacenado a trav�s del descubrimiento remoto de dispositivos.
WT-2024-0006: Falta de limitaci�n de velocidad en la API de autenticaci�n.
WT-2024-00XX: Bajo embargo de 90 d�as seg�n VDP.

Los fallos anteriores afectan a QTS, el sistema operativo NAS de los dispositivos QNAP, QuTScloud, la versi�n optimizada para VM de QTS, y QTS hero, una versi�n especializada centrada en el alto rendimiento.

QNAP ha solucionado las vulnerabilidades CVE-2023-50361 a CVE-2023-50364 en una actualizaci�n de seguridad publicada en abril de 2024, en las versiones QTS 5.1.6.2722 build 20240402 y posteriores, y QuTS hero h5.1.6.2734 build 20240414 y posteriores.

Sin embargo, el resto de vulnerabilidades descubiertas por WatchTowr siguen sin corregirse.

PoC para RCE de d�a cero

La vulnerabilidad QNAP CVE-2024-27130 es causada por el uso inseguro de la funci�n 'strcpy' en la funci�n No_Support_ACL. Esta funci�n es utilizada por la petici�n get_file_size en el script share.cgi, utilizado cuando se comparten archivos multimedia con usuarios externos.

Un atacante puede crear una petici�n maliciosa con un par�metro 'name' especialmente dise�ado, causando el desbordamiento de b�fer que conduce a la ejecuci�n remota de c�digo.

Para explotar CVE-2024-27130, el atacante necesita un par�metro 'ssid' v�lido, que se genera cuando un usuario del NAS comparte un archivo desde su dispositivo QNAP.

Este par�metro se incluye en la URL del enlace 'share' creado en un dispositivo, por lo que un atacante tendr�a que utilizar alg�n tipo de ingenier�a social para acceder a �l. Sin embargo, se descubri� que los usuarios a veces comparten estos enlaces en l�nea, lo que permite indexarlos y recuperarlos con una simple b�squeda en Google.

Cuadro de di�logo Compartir archivo (arriba) y ssid en URL (abajo)

Fuente: WatchTowr

En resumen, CVE-2024-27130 no es f�cil de explotar, aunque el requisito previo del SSID puede cumplirse para determinados actores.

WatchTowr public� un exploit en GitHub, en el que demuestran c�mo crear una carga �til que crea una cuenta �watchtowr� en un dispositivo QNAP y la agrega a sudoers para obtener privilegios elevados.

Se han puesto en contacto con QNAP para obtener una declaraci�n sobre los fallos revelados, pero no se ha recibido ning�n comentario de inmediato.

Fuente: bleepingcomputer