El pasado 19 de mayo se publicaron dos vulnerabilidades, alta y media respectivamente, que afectan a las aplicaciones MusicStation y MalwareRemove de QNAP. La explotación de las mismas permitirían la ejecución de código remoto pre-auntenticado sobre los productos afectados.
Análisis
La primera vulnerabilidad se localiza en la aplicación MusicStation, ésta cuenta con una API para cargar carátulas de un álbum de música en el dispositivo. Esta API recibe el parámetro ‘arttype’ desde una petición HTTP del usuario. Tras verificar que incluya un fichero con una extensión de imagen válida (JPEG, JPG, PNG), añade al nombre del fichero un identificador aleatorio usando la función uniqid de PHP y lo almacena en el dispositivo. Una petición con un arttype preparado puede controlar la ruta donde se va a almacenar el fichero, ya que la aplicación se ejecuta por defecto con privilegios de root. Este problema de seguridad ha recibido el identificador CVE-2020-36197 (1) y ha sido puntuada con un CVSS de 7.1.
La segunda vulnerabilidad tiene asignado el identificador CVE-2020-36198 (2) con una puntuación CVSS de 6.7. Se localizada en la aplicación MalwareRemover. Esta aplicación está diseñada para para proteger contra software dañino y ejecuta un escáner de malware a través de «cronjobs» periódicamente. A diferencia de la anterior, esta se encuentra de serie en QNAP, y no se puede eliminar desde QNAP App Center por motivos de seguridad. La explotación permitiría a los atacantes remotos ejecutar código arbitrario con privilegios de administrador.
Cabe remarcar también la importancia de aplicar las actualizaciones de seguridad en estos dispositivos, pues las copias hoy en día son de vital importancia para cualquier usuario, corporativo o no, ante la tendencia al alza de ataques ransomware y similares que afectan a la disponibilidad, integridad y confidencialidad de la información de un sistema.
Productos afectados
– Relacionados con MusicStation
- Versiones de Music Station anteriores a 5.3.16 en QTS 4.5. 2
- Versiones anteriores a 5.2.10 en QTS 4.3.6
- Versiones anteriores a 5.1.14 en QTS 4.3.3
- Versiones anteriores a 5.3.16 en QuTS hero h4.5.2
- Versiones anteriores a 5.3.16 en QuTScloud c4.5.4
– Relacionados con MalwareRemover
- Versiones anteriores a 4.6.1.0 de MalwareRemover.
- Este problema no afecta a QNAP Systems Inc. Malware Remover 3.x.
Recomendaciones
Se recomienda actualizar QNAP MusicStation y MalwareRemover a la última versión disponible.
Referencias
(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36197
(2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36198
(3) https://unaaldia.hispasec.com/2021/05/nuevas-vulnerabilidades-en-aplicaciones-de-qnap.html