Qnap [Faille] Commande à distance en root

Mikiya

Chevalier Jedi
25 Octobre 2016
440
0
0
Salut
Juste un petit post pour vous prévenir d'une faille publiée hier qui concerne de l'execution de commandes à distance en root sur les NAS QNAP sans authentification. :evil:

Qui ?
Potentiellement tous les modèles (au moins le TS-131 et 431) , avec le firmware QTS 4.3.3.0262 (20170727) compris.
Comment ?
Vous pouvez trouver des informations ici : https://www.exploit-db.com/exploits/42587/ ou la https://www.exploitee.rs/index.php/QNAP_TS-131
Cela utilise le "Transcoding Service" qui tourne en root.
Se protéger ?
L'attaque passe par le port 9251, donc en attendant un patch de QNAP, vérifiez bien que le port 9251 n'est pas ouvert dans vos box ou routeurs vers le NAS.
 
C'est le risque à avoir autant de services qui tournent en root :/ Comme tu dis, avec Metasploit (très connu dans la sécurité) ça se fait facilement.
Enfin la avec port fermé c'est bon normalement depuis l'extérieur donc ça ira en attendant un patch... C'est plus grave encore quand ça tape des ports communément utilisés :(
 
Merci de l'information !

Sans vouloir minimiser la faille, il faut vraiment vouloir le faire exprès pour ouvrir ce port non ? Si on passe par myqnapcloud en upnp, seuls les services de base sont cochés par défaut.. Si on paramètre un routeur, il faut nommer explicitement les ports que l'on souhaite ouvrir et rediriger. Le vrai danger, c'est de travailler en dmz.
 
Daeri a dit:
Sans vouloir minimiser la faille, il faut vraiment vouloir le faire exprès pour ouvrir ce port non ? Si on passe par myqnapcloud en upnp, seuls les services de base sont cochés par défaut.. Si on paramètre un routeur, il faut nommer explicitement les ports que l'on souhaite ouvrir et rediriger.
Tu as tout à fait raison ;)
Daeri a dit:
Le vrai danger, c'est de travailler en dmz.
ou toute personne mal attentionnée sur ton réseau... à la maison tu peux avoir confiance, mais en entreprise :(
 
Belle réactivité !

FX Cachem, en effet à l'entreprise je n'ai pas confiance, mais c'est moi qui serre la vis et qui veille au grain :geek:
 
Qnap TS212 ici! Effectivement, en DMZ, tu en prends plein la tête; le plus bizarre, c'est que tous les attaquants se retrouvent en guest dans mon Nas, utilisant Samba (?). Dans différents dossiers j'ai retrouvé la création puis la suppression des fichiers suivants:
delete.me
iMIWmjYN.so
SOQSp.txt

Enfin, quelques uns de mes attaquants avaient le port 1723 et le port 10001 et semblaient attaquer du Portugal.
Si ça peut faire avancer la chose.