Une paire de vulnérabilités non corrigées dans les périphériques de stockage en réseau (NAS) QNAP pour petits bureaux / bureaux à domicile (SOHO) pourrait permettre aux attaquants d’exécuter du code à distance, selon un avertissement des chercheurs en sécurité de SAM Seamless Network.

Il a été constaté que les bogues affectaient les périphériques NAS QNAP TS-231 SOHO exécutant la version 4.3.6.1446 du micrologiciel, mais pourraient également avoir un impact sur d’autres périphériques QNAP, à condition qu’ils utilisent la même version du micrologiciel. Selon QNAP, le NAS TS-231 a déjà atteint la fin de sa vie (EOL) et pourrait ne pas recevoir de mises à jour logicielles.

En fait, aucun correctif n’a été publié pour les appareils vulnérables bien que l’une des failles ait été initialement signalée au cours de la première moitié d’octobre 2020, révèle SAM. Le deuxième bug a été signalé fin novembre 2020.

«Ces vulnérabilités sont de nature grave car elles permettent une prise de contrôle complète des appareils du réseau, y compris l’accès aux données stockées de l’utilisateur, sans aucune connaissance préalable», selon un avis de SAM.

Le premier bogue réside dans le serveur Web du NAS, qui par défaut utilise le port TCP 8080 et existe en raison du manque de nettoyage d’entrée approprié pour certaines API.

Avec les précédentes failles d’exécution de code à distance (RCE) dans les périphériques NAS QNAP abusant des pages Web qui ne nécessitent pas d’authentification, mais exécutent du code côté serveur, les chercheurs de SAM ont commencé à examiner les fichiers cgi (qui sont stockés localement sur le périphérique) qui implémentent ces pages.

Au cours de leur enquête, les chercheurs ont découvert qu’en exploitant les requêtes HTTP vers différentes pages cgi, principalement celles qui ne nécessitent pas d’authentification préalable, ils pouvaient déclencher indirectement l’exécution de code à distance.

«Le fournisseur peut corriger la vulnérabilité en ajoutant un nettoyage des entrées à certains processus de base et API de bibliothèque, mais cela n’a pas été corrigé au moment de la rédaction de cet article», note SAM.

La deuxième vulnérabilité a été identifiée dans le serveur DLNA, qui utilise le port TCP par défaut 8200, et qui …