Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.
Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.
Het gaat in totaal om vier beveiligingslekken. In zijn blogposting beschrijft Huang echter drie kwetsbaarheden, omdat die voldoende zijn om zonder inloggegevens op afstand code met rootrechten uit te voeren. Via de eerste kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zich als appuser authenticeren. Het tweede lek maakt het mogelijk om willekeurige php-code in de sessie te injecteren en via de derde kwetsbaarheid is het mogelijk om sessiecontent naar een willekeurige locatie op de server te schrijven en zo een webshell te starten.
De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen.
Eind 2019 voerde Huang een scan uit op internet en ontdekte 564.000 QNAP-systemen die via internet toegankelijk waren. Uit een steekproef bleek dat tachtig procent Photo Station had ingeschakeld, wat neerkomt op zo'n 450.000 kwetsbare NAS-systemen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.