Dyski QNAP z licznymi lukami w zabezpieczeniach

Od marca wiadomo, że pamięci masowe firmy QNAP mają luki pozwalające zdalnie uruchamiać kod z uprawnieniami administratora, również przez internet. Oprócz klasycznych dysków NAS, problem dotyczy również VioStor – produktów do monitoringu wideo. Problem został udokumentowany, ale jeszcze nie jest rozwiązany, zatem zaleca się jak najbardziej restrykcyjne ograniczenie dostępu do pamięci, by uniemożliwić zdalne uruchomienie kodu.

Dyski QNAP wykorzystują zestaw programów narzędziowych, zlokalizowanych w standardowym katalogu cgi-bin. Katalog jest chroniony hasłem, a uruchomienie dowolnego narzędzia jest możliwe po podaniu hasła, które – niestety – otwiera dostęp do wszystkich programów. Wśród nich znajdują się takie jak create_user.cgi oraz pingping.cgi. Ten pierwszy umożliwia atakującemu zdalne utworzenie konta z uprawnieniami administratora, a drugi wykonanie dowolnych poleceń shella, z uprawnieniami roota (na przykład skasowanie zapisu z monitoringu).

Problem z dyskami QNAP został wykryty w marcu przez dwóch specjalistów zajmujących się bezpieczeństwem w firmie Daimler TSS. Sprawa została przekazana do CERT, ale najwyraźniej nie można było znaleźć w QNAP osoby, która wyjaśniłaby problem. Pomogła dopiero interwencja redakcji pisma c’t – problem został opisany przez CERT, a QNAP zaczął wydawać poprawki, choć pojawiają się one chaotycznie. Na przykład do pamięci z firmwarem w wersji 4.0 pojawiła się poprawka w wersji 3.0.1. Najlepszym rozwiązaniem jest maksymalne ograniczenie dostępu do dysków NAS, a także śledzenie informacji na stronach producenta.