NAS-fabrikant QNAP is onder vuur van een Amerikaans securitybedrijf komen te liggen omdat het nauwelijks informatie over verholpen kwetsbaarheden deelt, wat klanten minder veilig zou maken. Begin april van dit jaar liet het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten dat er actief misbruik werd gemaakt van een kwetsbaarheid (CVE-2020-2509) in het QTS-besturingssysteem van QNAP.
Via het beveiligingslek is remote code execution mogelijk en kan een aanvaller willekeurige code op kwetsbare NAS-apparaten uitvoeren. Het probleem werd in november 2020 voor nieuwere NAS-modellen en in april 2021 in oudere NAS-modellen door QNAP verholpen. Volgens QNAP gaat het om een kritieke kwetsbaarheid, maar verdere details werden niet gegeven. Eind april van dit jaar kwamen het CISA en de FBI met een lijst van vaak aangevallen kwetsbaarheden in 2021, waarop ook de QNAP-kwetsbaarheid werd genoemd.
Er is echter geen publieke exploit voor dit beveiligingslek bekend en geen enkele andere organisatie heeft misbruik van de kwetsbaarheid gemeld, aldus securitybedrijf Rapid7. Dat besloot vervolgens onderzoek naar CVE-2020-2509 te doen en ontdekte daarbij naar eigen zeggen een geheel nieuwe kwetsbaarheid. Of dit ook daadwerkelijk zo is, is onbekend.
De kwetsbaarheid die Rapid7-onderzoeker Jake Baines ontdekte maakt misbruik van de mogelijkheid voor een aanvaller om QNAP-apparaten naar updates te laten zoeken, waarbij er vervolgens met een malafide updateserver van de aanvaller verbinding wordt gemaakt. Dit is mogelijk omdat oudere versies van het QTS-besturingssysteem dat op de NAS-apparaten draait via http verbinding maakt met update.qnap.com. Via een man-in-the-middle-aanval of dns-hijacking kan een aanvaller het verzoek onderscheppen en naar zijn eigen server doorsturen.
Vervolgens kan hij het NAS-apparaat een malafide XML-bestand laten downloaden waarmee command injection mogelijk is, waardoor een aanvaller zijn commando's op het NAS-apparaat kan uitvoeren. Rapid7 waarschuwde QNAP, dat vervolgens naar het beveiligingsbulletin voor CVE-2020-2509 wees. De kwetsbaarheid die Baines ontdekte is met deze update verholpen, maar de onderzoeker denkt toch dat het om een ander probleem gaat. Door een gebrek aan informatie aan de kant van QNAP kan dit echter niet worden bevestigd.
"QNAP is het aan klanten en de beveiligingsindustrie verplicht om uitgebreide informatie te verstrekken. Leveranciers die verantwoordelijk zijn voor de veiligheid van hun producten, zijn ook verantwoordelijk voor het informeren van de community over de ernst van kwetsbaarheden in die producten. Wanneer ze dit niet doen, bijvoorbeeld door bulletins niet van basale informatie te voorzien zoals CVSS-scores, onthouden ze gebruikers volledige autonomie over de keuzes die ze maken over de risico's voor hun netwerken. Dit maakt ons allemaal minder veilig", aldus Baines.
Deze posting is gelocked. Reageren is niet meer mogelijk.