資安業者watchTowr去年底開始向NAS廠商威聯通(QNAP)通報資安漏洞,數量多達15個,但該公司僅針對其中一小部分做出修補,他們在上週揭露此事。對此,威聯通發布公告說明他們處理的情形
該漏洞出現在QTS的No_Support_ACL功能函數當中,其中一個名為strcpy子功能不安全使用所致。攻擊者可發出偽造的惡意請求,而有機會導致NAS設備出現記憶體緩衝區溢位的情況,最終達到遠端執行任意程式碼的目的。
而前述的先決條件,就是攻擊者必須取得使用者共用檔案時產生的「ssid」參數,而這樣的資料,基本上攻擊者可透過社交工程攻擊取得,但研究人員指出,他們也發現許多用戶公開檔案共用連結,並能透過Google找到,從而能進一步挖掘這種參數。
針對watchTowr所公布的消息,5月21日威聯通也發布公告說明。
該公司表示,他們在獲報的15個漏洞當中,對於已經完成確認的漏洞登記了CVE編號,並指出5個他們完成確認的漏洞,皆於同日發布的QTS 5.1.7及QuTS hero h5.1.7版進行修補。這些漏洞是:CVE-2024-21902、CVE-2024-27127、CVE-2024-27128、CVE-2024-27129、CVE-2024-27130,CVSS風險評分介於6.4至7.2分。
而對於其他漏洞,威聯通也在此公告透露處理的情形,承諾後續將著手處理CVE-2024-27131,以及另一個已登記CVE編號的漏洞,並坦承尚有3項漏洞正在向研究人員確認。
至於研究人員公布概念性驗證的CVE-2024-27130,威聯通也對其補充說明,他們在QTS啟用了位址空間布局隨機化(Address Space Layout Randomization,ASLR)的防護措施,因此攻擊者實際想要利用這項漏洞的難度將會提高,儘管如此,他們還是呼籲用戶升級新版QTS、QuTS hero作業系統,來緩解這項漏洞。
而關於watchTowr認為威聯通修補漏洞速度太慢、多次延遲公布漏洞時間,威聯通也在新聞稿中明確提出承諾:「未來,對於被分類為高或關鍵嚴重性的弱點,我們承諾在45天內完成修復並發布修復程式。對於中等嚴重性的弱點,我們將在90天內完成修復並發布修復程式。」
