QNAP, especialista en almacenamiento conectado a la red (NAS), ha revelado y publicado correcciones para dos nuevas vulnerabilidades, una de ellas de día cero descubierta a principios de noviembre. Sin embargo, la divulgación coordinada de los problemas por parte de la compañía taiwanesa a los investigadores de la Unidad 42 por parte de Palo Alto Networks ha generado cierta confusión sobre la gravedad del problema de seguridad. QNAP asignó a CVE-2023-50358 una puntuación de gravedad media de 5,8 sobre 10, cuyo desglose reveló que estaba clasificado como un ataque de alta complejidad que tendría un impacto bajo si se explotaba con éxito. La evaluación de Unit 42, por otro lado, fue el polo opuesto: «Estas vulnerabilidades de ejecución remota de código que afectan a los dispositivos IoT exhiben una combinación de baja complejidad de ataque e impacto crítico, lo que las convierte en un objetivo irresistible para los actores de amenazas. Como resultado, proteger los dispositivos IoT contra tales amenazas es una tarea urgente». La Oficina Federal Alemana para la Seguridad de la Información (BSI) también publicó hoy una alerta de emergencia advirtiendo que los exploits exitosos podrían provocar «daños importantes», alentando a los usuarios a aplicar parches rápidamente. En el momento de escribir este artículo, la Base de Datos Nacional de Vulnerabilidad (NVD) todavía está trabajando para asignar a la vulnerabilidad una calificación independiente. Normalmente, las vulnerabilidades de inyección de comandos que son fáciles de explotar tienden a atraer puntuaciones de gravedad en el extremo superior de la escala, por lo que será interesante ver cuál termina siendo la puntuación del NVD. Según los escaneos de Internet de dispositivos vulnerables realizados por Unit42 a mediados de enero, 289,665 direcciones IP separadas registraron un dispositivo vulnerable de acceso público. Alemania y Estados Unidos fueron los más expuestos, con 42.535 y 36.865 dispositivos vulnerables respectivamente, mientras que China, Italia, Japón, Taiwán y Francia les siguieron cada uno con más de 10.000 dispositivos expuestos. Explotación de CVE-2023-50358 A diferencia de QNAP, Unit 42 publicó un desglose técnico de CVE-2023-50358 y cómo explotar la vulnerabilidad. Está clasificado como una falla de inyección de comandos en el componente quick.cgi del firmware QTS de QNAP, que se ejecuta en la mayoría de sus dispositivos NAS. «Mientras se configura el parámetro de solicitud HTTP todo=set_timeinfo, el controlador de solicitudes en quick.cgi guarda el valor del parámetro SPECIFIC_SERVER en un archivo de configuración /tmp/quick/quick_tmp.conf con el nombre de entrada Dirección NTP», explicaron los investigadores. «Después de escribir la dirección del servidor NTP, el componente inicia la sincronización horaria usando la utilidad ntpdate. La ejecución de la línea de comandos se construye leyendo la dirección NTP en quick_tmp.conf, y esta cadena luego se ejecuta usando system(). «Datos no confiables de Por lo tanto, el parámetro SPECIFIC_SERVER se utiliza para crear una línea de comando que se ejecutará en el shell, lo que resulta en una ejecución de comando arbitraria». El aviso de Double Up de QNAP también detalla correcciones para una segunda falla de inyección de comando, CVE-2023-47218, que fue reportada por Stephen Fewer. , investigador principal de seguridad de Rapid7, y también recibió la misma puntuación de gravedad de 5,8. El aviso en sí combina ambas vulnerabilidades y no proporciona detalles técnicos para ninguna, por lo que es difícil determinar cuáles son las diferencias solo con esto. Detalles detallados sobre cómo CVE-2023-47218 también se encuentra en el componente Quick.cgi, lo que permite la inyección de comandos, y cómo se puede explotar mediante una solicitud HTTP POST especialmente diseñada. Los detalles del cronograma de divulgación también ofrecieron un vistazo a lo que parece ser un Rapid7 ligeramente molesto después de que QNAP guardara silencio y publicara sus parches antes de lo acordado. Después de acordar una fecha de divulgación coordinada para las vulnerabilidades del 7 de febrero en diciembre, el 25 de enero QNAP le dijo a Rapid7 que ya había lanzado los parches. Esto siguió a más de dos semanas de silencio de radio por parte del NAS slinger después de que Rapid7 solicitara una actualización del progreso. QNAP también pidió a Rapid7 que retrasara la publicación de su aviso hasta el 26 de febrero, casi tres semanas después de la fecha acordada original, que no pareció haber sido bien recibida. Tantos parches En lugar de centrarse en los detalles técnicos de las vulnerabilidades, el enfoque principal de QNAP con su divulgación parece ser resaltar los diferentes parches disponibles para las diferentes versiones de firmware. QTS, QuTS hero y QuTAcloud se ven afectados de manera diferente y cada versión tiene su propia recomendación de actualización específica. Producto afectado Gravedad Versión parcialmente reparada Versión totalmente reparada QTS 5.1.x Mediana QTS 5.1.0.2444 compilación 20230629 y posteriores QTS 5.1.5.2645 compilación 20240116 y posteriores QTS 5.0.1 Mediana QTS 5.0.1.2145 compilación 20220903 y posteriores QTS 5.1.5.2645 compilación 20 240116 y posterior QTS 5.0.0 High QTS 5.0.0.1986 compilación 20220324 y posterior QTS 5.1.5.2645 compilación 20240116 y posterior QTS 4.5.x, 4,4,x High QTS 4.5.4.2012 compilación 20220419 y posterior QTS 4.5.4.2627 compilación 20231225 y posterior QTS 4.3.6, 4.3.5 QTS alto 4.3.6.2665 compilación 20240131 y posteriores QTS 4.3.6.2665 compilación 20240131 y posteriores QTS 4.3.4 QTS alto 4.3.4.2675 compilación 20240131 y posteriores QTS 4.3.4.2675 compilación 20240131 y posteriores Q TS 4.3.x Alto QTS 4.3.3.2644 compilación 20240131 y posteriores QTS 4.3.3.2644 compilación 20240131 y posteriores QTS 4.2.x Alto QTS 4.2.6 compilación 20240131 y posteriores QTS 4.2.6 compilación 20240131 y posteriores QuTS hero h5.1.x Medio QuTS hero h5.1.0 .2466 compilación 20230721 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores QuTS hero h5.0.1 Medio QuTS hero h5.0.1.2192 compilación 20221020 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores QuTS hero h5.0.0 High QuTS hero h5.0.0.1986 compilación 20220324 y posterior QuTS hero h5.1.5.2647 compilación 20240118 y posterior QuTS hero h4.x High QuTS hero h4.5.4.1991 compilación 20220330 y posterior QuTS hero h4.5.4.2626 compilación 20231225 y posterior QuTScloud c5.x Alto QuTScloud c5.1.5.2651 y posterior QuTScloud c5.1.5.2651 y posterior El consejo general, como siempre, es actualizar a la última versión disponible, aunque el aviso de QNAP también proporciona pasos de mitigación si no se pueden realizar las actualizaciones. aplicado inmediatamente. Curiosamente, también enumera diferentes versiones de firmware afectadas en diferentes grados, asignando diferentes clasificaciones de gravedad para diferentes versiones de firmware. El proveedor no explica por qué es así. Las vulnerabilidades reveladas hoy son las últimas de una línea bastante extensa de fallas de inyección de comandos que afectan el firmware QTS y QuTS. Sólo este año, menos de dos meses después, se publicaron 15 avisos de seguridad diferentes para revelar 12 vulnerabilidades de inyección de comandos diferentes que afectan a varios dispositivos. ®

Source link