Drie kwetsbaarheden in de NAS-systemen van QNAP die twee jaar geleden aan de fabrikant werden gemeld zijn eindelijk verholpen. Via de beveiligingslekken zou een aanvaller kwaadaardige code kunnen injecteren of willekeurige commando's op NAS-systemen kunnen uitvoeren.
Zo was het mogelijk om via bestandsnamen met kwaadaardige html-tags willekeurige JavaScript uit te voeren en zo bijvoorbeeld de sessioncookies van de gebruiker te stelen. Een andere aanval maakte het mogelijk om via een aangemaakte gebruikersnaam commando's uit te voeren. QTS, het besturingssysteem van de NAS, stond het toe dat er gebruikersnamen met een Bash-syntax werden aangemaakt, waarna het opgegeven Bash-commando werd uitgevoerd. Om deze aanval uit voeren moest een aanvaller wel al over beheerdersrechten beschikken.
Als laatste is er een kwetsbaarheid verholpen die het mogelijk maakte om via de "description" van een gebruiker willekeurige JavaScript uit te voeren. Hiervoor moest er een link via het File Station van de NAS worden aangemaakt om bestanden op de NAS met anderen te delen. Wanneer deze andere gebruikers de gedeelde link van de gebruiker met de speciale description zouden bekijken werd de JavaScriptcode uitgevoerd. Ook via deze manier was het mogelijk om bijvoorbeeld sessioncookies te stelen.
QNAP omschrijft de impact van de kwetsbaarheden als "high". De NAS-fabrikant werd op 24 mei 2018 door securitybedrijf Independent Security Evaluators (ISE) over de beveiligingslekken geïnformeerd. In januari 2019 publiceerde ISE details over de kwetsbaarheden. Vandaag laat QNAP weten dat de problemen zijn verholpen. Dit is gedaan via nieuwe versies van QTS die in april en mei zijn verschenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.