CH azonosító
CH-9363Angol cím
QNAP VioStor NVR and QNAP NAS Products Security Bypass Security Issue and Arbitrary Command Injection VulnerabilityFelfedezés dátuma
2013.06.05.Súlyosság
KözepesÖsszefoglaló
A QNAP VioStor NVR és QNAP NAS termékek több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók feltörhetik a sérülékeny rendszert, illetve a támadók megkerülhetnek egyes biztonsági szabályokat.
Leírás
- A “ping_ip” GET paraméterrel például a cgi-bin/pingping.cgi részére átadott bemeneti adat nem megfelelően van megtisztítva, mielőtt parancsok futtatásában felhasználásra kerülne. Ezt kihasználva tetszőleges shell parancsot lehet befecskendezni és végrehajtani.
- Az eszköz fixen rögzített felhasználói adatokat használ a web szerverhez tartozó bizonyos fiókokhoz, amit kihasználva hozzá lehet férni bizonyos egyébként nem elérhető funkcióhoz.
A sérülékenységek sikeres kihasználásához szükséges, hogy a Surveillance Station Pro aktiválva legyen a QNAP NAS-on.
Megoldás
IsmeretlenTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
US-CERT 927644
CVE-2013-0142 - NVD CVE-2013-0142
CVE-2013-0143 - NVD CVE-2013-0143
SECUNIA 53721