As brechas foram descobertas por Tim Herres e David Elze, que trabalham para o Daimler TSS Offensive Security Team. Os especialistas reportaram os problemas para o CERT em Março último, mas parece que o CERT não conseguiu encontrar um representante da QNAP Security que poderia responder as suas tentativas de explicar o problema. Quando o problema ainda existia dois meses depois, os dois especialistas contactaram o Heise Security. Os contatos do editorial conseguiram encontrar uma pessoa para contato dentro da QNAP que organizou a liberação de um primeiro patch.
O servidor web integrado no VioStor e dispositivos NAS permite que um grande número de programas utilitários estejam disponíveis no diretório cgi-bin. Esse diretório é protegido por senha para prevenir acesso não-autorizado: quando o acesso é iniciado, o servidor irá pedir um nome de usuário e uma senha (HTTP Basic Authentication). O problema é que entrar com dados básicos de credencial de conta guest irá garantir o acesso a este diretório, e essa funcionalidade não pode nem ser desativada via interface de usuário.
uid=0 prova qe um comando foi executado a nível de usuário root - nesse caso em um sistema de segurança por vído em Fukushima.
Entre os programas CGI que estão acessíveis dessa forma está o script create_user.cgi e, em alguns sistemas, o pingping.cgi. O primeiro permite que atacantes em potencial possam criar novas contas de acesso com nível de administrador (via CSRF - Cross-Site Request Forgery), enquanto o script para ping permite que os atacantes possam injetar comandos de shell arbitrários de tal forma que eles irão ser executados diretamente à nível de usuário root. E o Heise Security conseguiu reproduzir essa vulnerabilidade.
Dezenas de sistemas QNAP vulneráveis estão acessíveis na Internet, mas a situação em que empregados arbitrários possam ganhar acesso para a rede de armazenamento da companhia é algo indesejável em qualquer rede de trabalho empresarial - isso sem mencionar a possibilidade dos invasores apagarem os vídeos de vigilância que os incriminem. Eles somente precisam conectar um laptop a rede, acessar novamente o sistema e apagar os vídeos correspondentes. Isso pelo menos até a versão 4.0.3 do firmware utilizado. A sensibilidade do problema se torna aparente quando nós olhamos para todos os lugares onde esse sistema de segurança é utilizado: unidades policiais e militares, bancos, e demais infraestruturas públicas e privadas. Os sistemas NAS da QNAP também incluem a funcionalidade de acesso via conta guest e, pelo menos quando o "Surveillance Station Pro" é instalado, eles também contêm o script ping problemático.
O CERT agora liberou um aviso sobre o tema e registrou o mesmo como CVE-2013-0141, CVE-2013-0142 e CVE-2013-0143, com o mais alto nível de ameaça CVSS no valor de 10. A QNAP ainda está trabalhado nos problemas e irá publicar maiores informações o mais breve possível. Até lá, os usuários deverão manter um controle rígido do acesso aos sistemas afetados. Assim como outros scripts CGI permitiram acesso a sistemas QNAP no passado, parece que novas backdoors em potencial poderão surgir nesse diretório.
Saiba Mais:
- Heise Online: Serious vulnerabilities in QNAP storage and surveillance systems (em Inglês)