Ein Team der Cybersecurityplattform SAM hat in den Netzwerkspeichern (NAS) der Firma QNAP zwei Sicherheitslücken entdeckt, die als kritisch einzustufen sind. Angreifer könnten per Fernzugriff auf dem Webserver über Port 8080 Shell-Befehle ausführen, ohne dafür vorab Zugangsdaten zu benötigen. Die zweite Lücke erlaubt es Angreifern mit Zugang zum DLNA-Server über Port 8200, willkürlich Daten auf jeglichen (auch noch nicht bestehenden) Ort zu schreiben, ohne dafür Zugangsdaten zu benötigen. Diese Lücke ließe sich dem Blogeintrag zufolge sogar ausnutzen, um auf dem Netzwerkspeicher aus der Ferne Befehle auszuführen.
Kritische Lücken noch ungepatcht
Betroffen ist laut Meldung die Ende September 2020 erschienene aktuelle Firmware-Version 4.3.6.1446 von QNAP TS-231, allerdings könnten die Schwachstellen auch weitere Modelle und Versionen betreffen. Das Sicherheitsteam von SAM habe QNAP Ende Oktober 2020 über den Fund der ersten Schwachstelle in Kenntnis gesetzt, Ende November dann die zweite Lücke gemeldet und dem Hersteller eine Schonfrist zum Beheben der Probleme eingeräumt. Laut SAM hat QNAP jedoch auf wiederholte Mitteilungen nicht reagiert und die Lücken bislang nicht geschlossen. Da das Team die Schwachstellen als schwerwiegend einstuft, habe man sich zur Veröffentlichung entschlossen.
Proof of Concept: Übernahme durch Reverse-Shell-Technik
Da potentiell zehntausende Geräte durch die Schwachstellen angreifbar wären, hat das Sicherheitsteam in der veröffentlichten Meldung keine Details genannt. Als Beweis ist eine Videoaufnahme des Terminals beigefügt, in dem das Team den Testangriff dokumentiert hat. Über ein Pythonscript haben die Sicherheitsexperten sich Zugang verschafft und durch eine Reverse-Shell-Technik das Gerät übernommen. Anschließend stand ihnen der QNAP-Speicher offen und sie konnten auf jegliche Datei darin zugreifen (im Testbeispiel greifen sie ein Passwort ab).
Auch zuvor hatten Angreifer sich schon über Webseiten Zugang zu QNAP-Netzwerkspeichern verschafft, indem sie Webseiten ohne Authentifizierungsforderung als Einstiegspunkt nutzten, um serverseitig Code auszuführen. Die aktuellen Lücken waren bei einer Routineuntersuchung aufgefallen: Das Sicherheitsteam hatte die cgi-Dateien, die zum Implementieren solcher Seiten dienen, genauer unter die Lupe genommen. Die meisten cgi-Dateien liegen beim Modell TS-231 im Verzeichnis /mnt/HDA_ROOT/home/httpd/cgi-bin und sind über den Webserver zugänglich.
Lösungsansatz und weiterführende Hinweise
Als Lösung schlägt die Cybersecurityplattform QNAP vor, einige Kernprozesse und die APIs der Bibliotheken mit zusätzlichen Eingabe-Sanitizern auszustatten. Die Timeline der erfolgten Meldungen an QNAP können Interessierte der Meldung entnehmen, die auch weitere technische Details zu den Schwachstellen bietet.
Quelle: QNAP: Kritische Schwachstellen erlauben Übernahme von NAS-Netzwerkspeicher | heise online