Attaques récentes ciblant QNAP Stockage en réseau (NAS) Les appareils tentaient d’exploiter une vulnérabilité qui a été corrigée en juillet 2017, affirment les chercheurs en sécurité de 360 ​​Netlab.

L’attaquant, dit 360 Netlab, fait preuve de prudence en exploitant la faille de sécurité. Cependant, les chercheurs ont pu identifier deux adresses IP attaquantes, à savoir 219.85.109[.]140 et 103.209.253[.]252, qui utilisent tous les deux la même charge utile.

Suite à une exploitation réussie, un fichier de http[:]//165.227[.]39.105: 8096 / aaa est récupéré. Analyse des 165[.][L’hôte22739105arévélélaprésencedeSSHMetasploitApachehttpdetd’autresservices[22739105hostrevealedthepresenceofSSHMetasploitApachehttpdandotherservices

L’analyse de la vulnérabilité du NAS QNAP a révélé qu’elle réside dans le programme CGI /httpd/cgi-bin/authLogout.cgi, qui est utilisé lorsque les utilisateurs se déconnectent et qui sélectionne une fonction de déconnexion basée sur le nom du champ dans le cookie.

« Le problème est QPS_SID, QMS_SID et QMMS_SID ne filtre pas les caractères spéciaux et appelle directement la fonction snprintf pour épisser la chaîne de commande curl et appelle la fonction système pour exécuter la chaîne, rendant ainsi l’injection de commande possible », explique 360 ​​Netlab.

Après avoir fourni un code de preuve de concept, les chercheurs ont contacté le fournisseur le 13 mai. Le vendeur a répondu le 12 août, révélant que le bogue de sécurité avait été résolu il y a trois ans. La version 4.3.3 du micrologiciel inclut le correctif.

«Cette version a remplacé la fonction système par qnap_exec, et la fonction qnap_exec est définie dans le /usr/lib/libuLinux_Util.so.0. En utilisant execv pour exécuter une commande personnalisée, l’injection de commande a été évitée », disent les chercheurs.

Malgré la disponibilité d’une mise à jour du micrologiciel depuis juillet 2017, des appareils non corrigés connectés à un réseau existent toujours.

«Nous recommandons aux utilisateurs de NAS QNAP de vérifier et de mettre à jour leurs firmwares en temps opportun, ainsi que de vérifier les processus et les connexions réseau anormaux», le …

Voir la source de cette publication