• QNAP: Vulnerabilidades Sérias nos Sistemas de Armazenamento e Vigilância

    Muitos dos produtos NAS da QNAP foram afetados por problemas de segurança que, quando combinados, tem o potencial de permitir que atacantes remotos executem comandos arbitrários em um sistema com nível de privilégio de administrador - e no pior caso, até mesmo via Internet. Além de sistemas de armazenagem em rede puros, esse problema afeta em particular os sistemas de monitoramento por vídeo VioStor da QNAP Security.

    As brechas foram descobertas por Tim Herres e David Elze, que trabalham para o Daimler TSS Offensive Security Team. Os especialistas reportaram os problemas para o CERT em Março último, mas parece que o CERT não conseguiu encontrar um representante da QNAP Security que poderia responder as suas tentativas de explicar o problema. Quando o problema ainda existia dois meses depois, os dois especialistas contactaram o Heise Security. Os contatos do editorial conseguiram encontrar uma pessoa para contato dentro da QNAP que organizou a liberação de um primeiro patch.

    O servidor web integrado no VioStor e dispositivos NAS permite que um grande número de programas utilitários estejam disponíveis no diretório cgi-bin. Esse diretório é protegido por senha para prevenir acesso não-autorizado: quando o acesso é iniciado, o servidor irá pedir um nome de usuário e uma senha (HTTP Basic Authentication). O problema é que entrar com dados básicos de credencial de conta guest irá garantir o acesso a este diretório, e essa funcionalidade não pode nem ser desativada via interface de usuário.


    uid=0 prova qe um comando foi executado a nível de usuário root - nesse caso em um sistema de segurança por vído em Fukushima.

    Entre os programas CGI que estão acessíveis dessa forma está o script create_user.cgi e, em alguns sistemas, o pingping.cgi. O primeiro permite que atacantes em potencial possam criar novas contas de acesso com nível de administrador (via CSRF - Cross-Site Request Forgery), enquanto o script para ping permite que os atacantes possam injetar comandos de shell arbitrários de tal forma que eles irão ser executados diretamente à nível de usuário root. E o Heise Security conseguiu reproduzir essa vulnerabilidade.

    Dezenas de sistemas QNAP vulneráveis estão acessíveis na Internet, mas a situação em que empregados arbitrários possam ganhar acesso para a rede de armazenamento da companhia é algo indesejável em qualquer rede de trabalho empresarial - isso sem mencionar a possibilidade dos invasores apagarem os vídeos de vigilância que os incriminem. Eles somente precisam conectar um laptop a rede, acessar novamente o sistema e apagar os vídeos correspondentes. Isso pelo menos até a versão 4.0.3 do firmware utilizado. A sensibilidade do problema se torna aparente quando nós olhamos para todos os lugares onde esse sistema de segurança é utilizado: unidades policiais e militares, bancos, e demais infraestruturas públicas e privadas. Os sistemas NAS da QNAP também incluem a funcionalidade de acesso via conta guest e, pelo menos quando o "Surveillance Station Pro" é instalado, eles também contêm o script ping problemático.

    O CERT agora liberou um aviso sobre o tema e registrou o mesmo como CVE-2013-0141, CVE-2013-0142 e CVE-2013-0143, com o mais alto nível de ameaça CVSS no valor de 10. A QNAP ainda está trabalhado nos problemas e irá publicar maiores informações o mais breve possível. Até lá, os usuários deverão manter um controle rígido do acesso aos sistemas afetados. Assim como outros scripts CGI permitiram acesso a sistemas QNAP no passado, parece que novas backdoors em potencial poderão surgir nesse diretório.

    Saiba Mais:

    - Heise Online: Serious vulnerabilities in QNAP storage and surveillance systems (em Inglês)

    Sobre o Autor: code

    Administrador e Editor do Portal Under-Linux, desenvolvedor Linux e FOSS para Linux, autor de livros e artigos, atuando na área de Educação Digital e P&D com AI.

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L