Security Week 2422: уязвимости в устройствах QNAP

17 мая компания WatchTowr Labs опубликовала результаты исследования прошивки популярных сетевых устройств Qnap. Аудит программного обеспечения выявил 15 уязвимостей, из которых только 4 были закрыты на момент публикации. Авторы исследования анализировали «облачную» версию ПО QuTSCloud, а затем удостоверялись, что обнаруженные проблемы применимы к реальным устройствам. Отчет подробно разбирает один из пятнадцати багов, имеющий идентификатор CVE-2024–27130. Его эксплуатация может приводить к выполнению произвольного кода на устройстве QNAP и получению полного контроля над ним. Интерес представляет как сама уязвимость, так и подробное изложение методов ее обнаружения авторами отчета.

xlrxa8sn4aiieq0fchktrrn8dgu.png

Работа началась с изучения содержимого виртуальной ОС QuTSCloud, где исследователи обнаружили большое количество кода, написанного на C, а в нем — немало типичных ошибок, способных приводить к повреждению памяти. Авторам отчета довольно быстро удалось вызвать ошибку в выполнении функции, обрабатывающей сценарии общего доступа к файлам. Это стандартная фича любого NAS, которая позволяет создать ссылку на файл, хранимый на устройстве, поделиться ей с коллегами или даже выложить в открытый доступ. Возможность вызвать сбой при работе с этим публичным интерфейсом — уже проблема сама по себе, но для потенциального атакующего есть важное ограничение: он должен знать уникальный идентификатор, который предоставляет доступ к какому-либо файлу на устройстве.
Фича открытия общего доступа к файлам в веб-интерфейсе QNAP выглядит так:

egpaw_fkwg-u4_5kc7z66c8syns.png

Независимо от настроек доступа к файлу, создается ссылка с уникальным идентификатором ssid, который потенциальный злоумышленник может использовать для атаки на устройство. Авторы отчета отмечают, что такие ссылки для многих устройств можно найти в открытом доступе, если пользователь делится ими публично. Но пока что «атака» на интерфейс, обрабатывающий эти ссылки, в лучшем случае приводит к отказу в обслуживании. Исследователи смогли развить атаку, модифицировав передаваемые на устройство данные так, чтобы получить доступ к консоли с правами администратора. Для этого были задействованы особенности работы процессора с архитектурой ARM при выполнении 32-битного кода. Чтобы довести атаку до логического завершения, авторы работы продемонстрировали возможность добавления нового пользователя, также с правами администратора и активации для него удаленного доступа по протоколу SSH.

Весь код эксплойта выложен в этом репозитории на Github. Исследователи использовали интересный подход, позволивший им опубликовать работающий «эксплойт», но при этом ограничивающий возможности эксплуатации этого кода во вредоносных целях. Показанная атака работает, только если предварительно отключить систему защиты ASLR. Это делает демонстрационный код бесполезным для реальных атак, но при этом позволяет продемонстрировать уязвимость во всей полноте. Сделано это было в том числе потому, что на момент публикации WatchTowr уязвимость не была закрыта.

По состоянию на 17 мая из 15 обнаруженных проблем производитель, получивший информацию от WatchTowr в декабре 2023 и январе 2024 года, закрыл только четыре. Три из них также ведут к выполнению произвольного кода, но требуют доступа к устройству на уровне пользователя. Еще одна закрытая уязвимость позволяет обойти систему двухфакторной аутентификации. В команде WatchTowr объясняют публикацию данных о проблеме, ссылаясь на стандартный срок в 90 дней для закрытия уязвимостей, после того как о них было сообщено вендору. Изначальные 4 уязвимости были исправлены в конце апреля 2024 года. Самый свежий апдейт, выпущенный 21 мая, закрывает еще пять уязвимостей, включая описанную выше CVE-2024–27130.

Что еще произошло:

Исследователи «Лаборатории Касперского» подробно описывают, как встроенная в Windows система шифрования данных BitLocker может использоваться злоумышленниками для требования выкупа в обмен на ключ для дешифровки. Еще одна публикация описывает новые разновидности стилеров, вредоносных программ для кражи данных, — от браузерных cookie до криптокошельков. Не менее интересная техническая публикация в деталях описывает так называемые нулевые сессии, особый метод атак на интерфейс MS-RPC. Несмотря на то что этому методу исполнилось 24 года, он по-прежнему релевантен.

Издание Ars Technica пишет о работе китайских исследователей, которые показали работоспособность relay-атаки против недавно выпущенных автомобилей Tesla Model 3. Автомобили Tesla, как и многие другие, оснащены функцией «бесключевого доступа», которая разблокирует автомобиль и позволит завести его, если обнаружит поблизости ключ. Эта фича подвержена атаке, когда с помощью достаточно недорогого оборудования злоумышленники принимают сигнал от ключа, находящегося, например, дома у владельца, и усиливают его так, что это позволяет открыть и угнать машину. В новых модификациях Tesla 3 для работы этой функции использована технология UWB (ultra-wideband), которая теоретически позволяет сделать работу «бесключевого доступа» более безопасной, вводя дополнительные проверки. На практике, как оказалось, эти проверки не были реализованы, и свежие автомобили Tesla так же легко угнать, как и раньше.

Широко обсуждается представленная компанией Microsoft на прошлой неделе фича Recall, записывающая действия пользователя и позволяющая в любой момент «отмотать назад» последовательность операций с компьютером. Windows 11 будет сохранять скриншоты экрана раз в несколько секунд и хранить эту информацию по умолчанию три месяца. Хотя можно представить и позитивные сценарии использования такой функции, очевидно, что она вносит множество новых рисков для приватности — как в случае атаки с помощью вредоносного ПО, так и в сценарии, когда за жертвой следят близкие люди.

Apple выпустила патч iOS/iPadOS до версии 17.5.1, закрывающий баг, описанный в дайджесте на прошлой неделе, когда у ряда пользователей в «фотоленте» начали появляться ранее удаленные фотографии. Анализ патча, проведенный компанией Synakctiv, позволяет предположить, в чем была проблема. Дело в том, что фотографии, удаленные из приложения Photos, не удаляются физически. В версии 17.5 была сделана ошибка в логике сканирования устройства, которая привела к повторному добавлению удаленных фото в базу — они снова стали видны пользователям. Это исключает самый неприятный сценарий, который предполагали некоторые комментаторы, — что удаленные фотографии секретно хранятся на серверах Apple. Речь идет исключительно о методе работы с файлами на устройстве.

© Habrahabr.ru