Összefoglaló
A QNAP Turbo NAS szériás eszközök több biztonsági hibát tartalmaznak, amelyek elsősorban jogosulatlan műveletvégrehajtásra, adatszivárogtatásra és adatmanipulációra adhatnak lehetőséget a támadók számára.
Leírás
A fejlesztők az alábbi összetevők, funkciók esetében orvosoltak biztonsági hibákat:
- jelszómódosítási funkció
- webes interfész (paraméterellenőrzési hiányosságok)
- fiókszerkesztés (File Station, Syslog Viewer, System Connection Logs)
- fájlmegosztás
- CGI-kezelés
- Music Station.
A QNAP egyes adattárolói kapcsán egy további rendellenességre is fény derült. Mégpedig arra, hogy az eszközök a titkosítás feloldásakor a titkosításhoz használt kulcsot naplózzák, vagyis az a naplóállományokból kinyerhető.
Megoldás
A gyártó által kiadott (QTS 4.1.4 build 0804) patch telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: www.qnap.com