vulnerabilidades en dispositivos QNAP / Sudo Null IT News

17 de mayo Laboratorios WatchTowr

publicado

resultados de un estudio del firmware de dispositivos de red populares de Qnap. La auditoría de software identificó 15 vulnerabilidades, de las cuales sólo 4 estaban cerradas en el momento de esta publicación. Los autores del estudio analizaron la versión en la nube del software QuTSCloud y luego se aseguraron de que los problemas encontrados fueran aplicables a dispositivos reales. El informe examina en detalle uno de los quince errores, que tiene el identificador CVE-2024-27130. Su funcionamiento puede llevar a la ejecución de código arbitrario en el dispositivo QNAP y a obtener control total sobre él. Es de interés tanto la vulnerabilidad en sí como la descripción detallada de los métodos utilizados para detectarla por parte de los autores del informe.

El trabajo comenzó estudiando el contenido del sistema operativo virtual QuTSCloud, donde los investigadores encontraron una gran cantidad de código escrito en C, que contenía muchos errores típicos que podían provocar daños en la memoria. Los autores del informe rápidamente lograron provocar un error en la ejecución de la función que procesa escenarios de intercambio de archivos. Esta es una característica estándar de cualquier NAS, que le permite crear un enlace a un archivo almacenado en el dispositivo, compartirlo con colegas o incluso ponerlo a disposición del público. La capacidad de provocar un bloqueo al trabajar con esta interfaz pública es un problema en sí mismo, pero existe una limitación importante para un atacante potencial: debe conocer el identificador único que otorga acceso a cualquier archivo en el dispositivo.


La función para abrir archivos compartidos en la interfaz web de QNAP tiene este aspecto:

Independientemente de la configuración de acceso a archivos, se crea un enlace con un identificador único ssid, que un atacante potencial puede utilizar para atacar el dispositivo. Los autores del informe señalan que estos enlaces para muchos dispositivos se pueden encontrar en el dominio público si el usuario los comparte públicamente. Pero por ahora, un “ataque” a la interfaz que procesa estos enlaces resulta, en el mejor de los casos, en una denegación de servicio. Los investigadores pudieron desarrollar el ataque modificando los datos transmitidos al dispositivo para poder acceder a la consola con derechos de administrador. Para ello se utilizaron las características del procesador con arquitectura ARM al ejecutar código de 32 bits. Para llevar el ataque a su conclusión lógica, los autores del trabajo demostraron la posibilidad de agregar un nuevo usuario, también con derechos de administrador, y activarle el acceso remoto a través del protocolo SSH.

Todo el código de explotación al corriente en este repositorio de Github. Los investigadores adoptaron un enfoque interesante que les permitió publicar un “exploit” funcional pero también limitó cómo el código podría explotarse con fines maliciosos. El ataque que se muestra solo funciona si primero desactiva la protección ASLR. Esto hace que el código de demostración sea inútil para ataques reales, pero aún le permite demostrar la vulnerabilidad en su totalidad. Esto se hizo, entre otras cosas, porque en el momento de la publicación de WatchTowr la vulnerabilidad no había sido cerrada.

Hasta el 17 de mayo, de los 15 problemas identificados, el fabricante que recibió información de WatchTowr en diciembre de 2023 y enero de 2024 había cerrado solo cuatro. Tres de ellos también conducen a la ejecución de código arbitrario, pero requieren acceso al dispositivo a nivel de usuario. Otra vulnerabilidad cerrada le permite eludir el sistema de autenticación de dos factores. El equipo de WatchTowr explica la publicación de datos sobre el problema, citando el período estándar de 90 días para cerrar las vulnerabilidades después de haber sido informadas al proveedor. Las 4 vulnerabilidades originales se solucionaron a finales de abril de 2024. lo mas fresco funcionapublicado el 21 de mayo, aborda cinco vulnerabilidades más, incluida CVE-2024-27130 descrita anteriormente.

¿Qué más pasó?

Los investigadores de Kaspersky Lab en detalle describir, cómo los atacantes pueden utilizar el sistema de cifrado de datos BitLocker integrado en Windows para exigir un rescate a cambio de una clave de descifrado. Otro publicación describe nuevos tipos de ladrones, programas maliciosos para el robo de datos, desde cookies de navegador hasta billeteras criptográficas. Técnica no menos interesante. publicación describe en detalle las llamadas sesiones nulas, un método especial para atacar la interfaz MS-RPC. Aunque este método tiene 24 años, sigue siendo relevante.

Ars Technica escribe sobre trabajar Los investigadores chinos que demostraron la funcionalidad de un ataque de retransmisión contra los automóviles Tesla Model 3 recientemente lanzados, como muchos otros, están equipados con una función de “entrada sin llave” que desbloqueará el automóvil y le permitirá arrancar si detecta una llave. cercano. Esta característica es susceptible de ataque cuando, utilizando equipos bastante económicos, los atacantes reciben una señal de una llave ubicada, por ejemplo, en la casa del propietario, y la amplifican para permitir abrir y robar el automóvil. En las nuevas modificaciones del Tesla 3, se utiliza la tecnología UWB (banda ultra ancha) para operar esta función, lo que en teoría permite hacer más seguro el acceso sin llave mediante la introducción de controles adicionales. En la práctica, resulta que estos controles no se implementaron y los autos Tesla nuevos son tan fáciles de robar como antes.

En general se esta discutiendo La función Recuperar introducida por Microsoft la semana pasada registra las acciones del usuario y le permite “rebobinar” la secuencia de operaciones de la computadora en cualquier momento. Windows 11 guardará capturas de pantalla de su pantalla cada pocos segundos y almacenará esta información durante tres meses de forma predeterminada. Si bien es posible imaginar casos de uso positivos para una característica de este tipo, claramente introduce muchos riesgos nuevos para la privacidad, tanto en el caso de un ataque de malware como en un escenario en el que la víctima es espiada por sus seres queridos.

Apple lanzó un parche para iOS/iPadOS para la versión 17.5.1, corrigiendo un error descrito en el resumen de la semana pasada, cuando fotos previamente eliminadas comenzaron a aparecer en los feeds de fotos de varios usuarios. Análisis El parche, realizado por Synakctiv, sugiere cuál era el problema. La cuestión es que las fotos eliminadas de la aplicación Fotos no se eliminan físicamente. En la versión 17.5, se cometió un error en la lógica de escaneo del dispositivo, lo que provocó que las fotos eliminadas se volvieran a agregar a la base de datos; nuevamente se volvieron visibles para los usuarios. Esto descarta el peor de los casos, como algunos comentaristas han sugerido: que las fotos borradas se almacenen en secreto en los servidores de Apple. Estamos hablando exclusivamente del método de trabajar con archivos en el dispositivo.