导航菜单

QNAP NAS 任意命令执行漏洞修复通告

 

近日监测到互联网上关于QNAP NAS任意命令执行漏洞利用链的公开,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面中。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

 

0x00 漏洞概述

QNAP NAS是威联通(QNAP Systems)公司的一套网络储存设备。用于家庭、SOHO族、以及中小企业用户

本次漏洞点在于Photo Station及CGI模块:QNAP QTS是一套Turbo NAS作业系统。该系统可提供档案储存、管理、备份,多媒体应用及安全监控等功能,默认的WEB通讯端口为8080;QNAP Systems Photo Station是其一款照片管理和查看应用程序,用户可以将分散在多个终端设备的照片汇集到一起进行管理、编辑与分享。

研究员在19年报告了以下漏洞

  • CVE-2019-7192(CVSS 9.8)
  • CVE-2019-7193(CVSS 9.8)
  • CVE-2019-7194(CVSS 9.8)
  • CVE-2019-7195(CVSS 9.8)

漏洞的利用方式是第一次公开,尽管作者只披露了3个漏洞,但它们足以实现RCE利用链的构造。

 

0x01 漏洞详情

任意文件读取

该漏洞的触发原因在于exportFile()参数可控,且即使在未授权的情况下也可通过构造特定参数来绕过身份校验,从而造成任意文件读取漏洞

QNAP NAS 任意命令执行漏洞修复通告

  • Bypass CHECK_ACCESS_CODE: Album ID & Access Code
  • Bypass CHECK_ACCESS_CODE: Setting and Getting
  • Pre-Auth Local File Disclosure

QNAP NAS 任意命令执行漏洞修复通告

任意代码注入

该漏洞的触发条件在于经过身份验证后在SMTP setting处存在代码注入

  • 通过前一步任意文件读取到/share/Multimedia/.@__thumb/ps.app.token进行身份验证,或者读取/etc/shadow尝试爆破用户账号密码登录后台
  • 在SMTP setting写入php代码后会序列化存储在SESSIONS文件中

QNAP NAS 任意命令执行漏洞修复通告

任意命令执行

该漏洞的触发原因在于file_put_contents()可控,会SESSIONS文件反序列化后写到session_id()指定的web拼接目录

QNAP NAS 任意命令执行漏洞修复通告

最终达到任意命令执行的效果

QNAP NAS 任意命令执行漏洞修复通告

 

0x02 影响版本

此前版本均受影响QTS:

  • QTS 4.4.1: build 20190918 and later
  • QTS 4.3.6: build 20190919 and later

Photo Station:

  • QTS 4.4.1: Photo Station 6.0.3 and later
  • QTS 4.3.4 – QTS 4.4.0: Photo Station 5.7.10 and later
  • QTS 4.3.0 – QTS 4.3.3: Photo Station 5.4.9 and later
  • QTS 4.2.6: Photo Station 5.2.11 and later

 

0x03 处置建议

请参考以下官方链接安装上述不受影响版本:Installing the QTS Update

  1. 以管理员身份登录到QTS
  2. 进入控制面板 > 系统 > 固件更新
  3. 在”实时更新”下,单击”检查更新”,下载并安装最新的可用更新

Updating Photo Station

  1. 以管理员身份登录到QTS
  2. 在应用程序中找到”Photo Station”,进行更新

https://www.qnap.com/zh-tw/security-advisory/nas-201911-25

 

0x04 关于我们

灵腾安全实验室(REDTEAM)正式成立于2020年,隶属于360政企-实网威胁感知部;主攻研究方向包括红队技术、物理攻防、安全狩猎等前瞻技术,为 360AISA全流量威胁分析系统360天相资产威胁与漏洞管理系统360虎安服务器安全管理系统360蜃景攻击欺骗防御系统 核心产品提供安全赋能。

 

0X05 Reference

https://medium.com/bugbountywriteup/qnap-pre-auth-root-rce-affecting-450k-devices-on-the-internet-d55488d28a05

本文由安全客原创发布 转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/205949

相关推荐

CVE-2020-1362 漏洞分析

  作者:bybye@知道创宇404实验室 漏洞背景 WalletServiC++e 服务是 windows 上用来持有钱包客户端所使用的对象的一个服务,只存在 windows 10 中。 CVE-2020-1362 是 WalletService 在处理 CustomProperty ...

DLL劫持自动化检测

简介 本文将介绍动态链接库(DLL)搜索顺序劫持的概念,以及如何实现在Windows上的持久化攻击。MITRE ATT&CK对DLL搜索顺序劫持的描述详见DLL Search Order Hijacking (T1038)。 DLL劫持对攻击者很有用,原因...