El passat 19 de maig es van publicar dues vulnerabilitats, alta i mitjana, respectivament, que afecten les aplicacions MusicStation i MalwareRemove de QNAP. L’explotació d’aquestes permetrien l’execució de codi remot preautenticat sobre els productes afectats.
Anàlisi
La primera vulnerabilitat es localitza en l’aplicació MusicStation, aquesta compta amb una API per a carregar caràtules d’un àlbum de música en el dispositiu. Aquesta API rep el paràmetre “arttype” des d’una petició HTTP de l’usuari. Després de verificar que incloga un fitxer amb una extensió d’imatge vàlida (JPEG, JPG, PNG), afig al nom del fitxer un identificador aleatori usant la funció uniqid de PHP i l’emmagatzema en el dispositiu. Una petició amb un arttype preparat pot controlar la ruta on s’emmagatzemarà el fitxer, ja que l’aplicació s’executa per defecte amb privilegis de root. Aquest problema de seguretat ha rebut l’identificador CVE-2020-36197 (1) i ha sigut puntuada amb un CVSS de 7.1.
La segona vulnerabilitat té assignat l’identificador CVE-2020-36198 (2) amb una puntuació CVSS de 6.7. Es localitzada en l’aplicació MalwareRemover. Aquesta aplicació està dissenyada per a protegir contra software nociu i executa un escàner de malware a través de «cronjobs» periòdicament. A diferència de l’anterior, aquesta es troba de sèrie en QNAP, i no es pot eliminar des de QNAP App Center per motius de seguretat. L’explotació permetria als atacants remots executar codi arbitrari amb privilegis d’administrador.
Cal remarcar també la importància d’aplicar les actualitzacions de seguretat en aquests dispositius, perquè les còpies hui dia són de vital importància per a qualsevol usuari, corporatiu o no, davant la tendència a l’alça d’atacs ransomware i similars que afecten la disponibilitat, integritat i confidencialitat de la informació d’un sistema.
Productes afectats
– Relacionats amb MusicStation
- Versions de Music Station anteriors a 5.3.16 en QTS 4.5. 2
- Versions anteriors a 5.2.10 en QTS 4.3.6
- Versions anteriors a 5.1.14 en QTS 4.3.3
- Versions anteriors a 5.3.16 en QuTS hero h4.5.2
- Versions anteriors a 5.3.16 en QuTScloud c4.5.4
– Relacionats amb MalwareRemover
- Versions anteriors a 4.6.1.0 de MalwareRemover.
- Aquest problema no afecta a QNAP Systems Inc. Malware Remover 3.x.
Recomanacions
Es recomana actualitzar QNAP MusicStation i MalwareRemover a l’última versió disponible.
Referències
(1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36197
(2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36198
(3) https://unaaldia.hispasec.com/2021/05/nuevas-vulnerabilidades-en-aplicaciones-de-qnap.html