o serwisie | redakcja | reklama | kontakt
szukaj w serwisie
Spis treści
  • Strona 1

Indeks działów

11 czerwca 2013
Marcin Kaczmarek

Od marca wiadomo, że pamięci masowe firmy Qnap mają luki pozwalające zdalnie uruchamiać kod z uprawnieniami administratora, również przez internet. Oprócz klasycznych dysków NAS, problem dotyczy również VioStor – produktów do monitoringu wideo. Problem został udokumentowany, ale jeszcze nie jest rozwiązany, zatem zaleca się jak najbardziej restrykcyjne ograniczenie dostępu do pamięci, by uniemożliwić zdalne uruchomienie kodu.

 

Dyski Qnap wykorzystują zestaw programów narzędziowych, zlokalizowanych w standardowym katalogu cgi-bin. Katalog jest chroniony hasłem, a uruchomienie dowolnego narzędzia jest możliwe po podaniu hasła, które – niestety – otwiera dostęp do wszystkich programów. Wśród nich znajdują się takie jak create_user.cgi oraz pingping.cgi. Ten pierwszy umożliwia atakującemu zdalne utworzenie konta z uprawnieniami administratora, a drugi wykonanie dowolnych poleceń shella, z uprawnieniami roota (na przykład skasowanie zapisu z monitoringu).

Qnap VioStor

Problem z dyskami Qnap został wykryty w marcu przez dwóch specjalistów zajmujących się bezpieczeństwem w firmie Daimler TSS. Sprawa została przekazana do CERT, ale najwyraźniej nie można było znaleźć w Qnap osoby, która wyjaśniłaby problem. Pomogła dopiero interwencja redakcji pisma c't – problem został opisany przez CERT, a Qnap zaczął wydawać poprawki, choć pojawiają się one chaotycznie. Na przykład do pamięci z firmwarem w wersji 4.0 pojawiła się poprawka w wersji 3.0.1. Najlepszym rozwiązaniem jest maksymalne ograniczenie dostępu do dysków NAS, a także śledzenie informacji na stronach producenta.



Źródło: The H

Przeczytaj również...

Zaloguj się, by dodać komentarz. Nie masz konta? Zarejestruj się.

Login
Hasło
Zarejestruj się
Zapomniałem hasła
  Ostatnio komentowane
  Ostatnio na forum
więcej »
strona główna | o serwisie | redakcja | reklama | kontakt