反應極遲緩 半年後才釋出安全性更新 !!
安全機構 Seamless Network 表示,去年 10 月 12 及 11 月 29 日向 QNAP 通報 2 個相關漏洞,並提供了120 天寬限期讓 QNAP 解決漏洞後,才向公眾公開相關漏洞報告,不幸的是 QNAP 反應非常緩慢,在限期前仍然未有修復,最終報告於 3 月 31 日刊登, QNAP 直至 4 月 16 日才釋出安全性新。
據 Seamless Network 的 Yaniv Puyeski 指出,他們在去年 10 月及 11 月發現 QNAP NAS 裝置存在 2 個非常嚴重的漏洞,並且按照了行業標準做法向 QNAP 通報,並允許了 4 個月時間寬限期 (Grace Period) 讓 QNAP 解決後才告知公眾,這些漏洞允許在沒有任何身份驗證的情況下從網絡完全接管設備,包括訪問用戶存儲的數據。
儘管 Seamless Network 將發現過程以及漏洞應採取的步驟向 QNAP 披露,但寬限期超過一個多月,截至漏洞報告被刊登後,該 2 個嚴重漏洞仍然未被完全修復。
1. Web 伺服器的 RCE 漏洞
該漏洞容許黑客透過 NAS Web 伺服器服務上 (默認TCP Port 8080) 透過 CGI 執行任何 shell 命令,完全無需身份驗證即可觸發遠程代碼執行,影響暴露於 Internet 的所有 QNAP NAS 設備。
該漏洞早於 2020 年 10 月 12 日全面向 QNAP 安全團隊披露,時間表如下︰
• 2020 年 10 月 12 日 向 QNAP 安全團隊全面披露該漏洞及解決建議。
• 2020 年 10 月 23 日 再次向 QNAP 安全團隊發出電郵通知
• 2020 年 10 月 31 日 僅收到來自 QNAP Support 自動回覆並帶有票證編號。
• 2021 年 1 月 26 日 通知 QNAP 寬限期為 2 月 12 日。
• 2021 年 1 月 26 日 QNAP HelpDesk 終於回復:問題已確認,但仍在進行中。
• 2021 年 2 月 12 日 寬限期已過。
• 2021 年 3 月 31 日 Seamless Network 發佈了相關漏洞報告。
2. DLNA 伺服器的任意文件寫入漏洞
該漏洞容許黑客透過 DLNA 伺服器服務上 (默認 Port 8200),在任何的位置創建任意文件數據訪問,並處理 Port 8200 上的 UPNP 請求,最終可以將該漏洞可以讓黑客觸發遠程代碼執行。
該漏洞早於 2020 年 11 月 29 日全面向 QNAP 安全團隊披露,時間表如下︰
• 2020 年 11 月 29 日 向 QNAP 安全團隊報告,但完全沒有收到來自 QNAP 的答覆。
• 2021 年 3 月 29 日 寬限期已過。
• 2021 年 3 月 31 日 Seamless Network 發佈了相關漏洞報告。
Seamless Network 指出,在漏洞報告刊登的第 2 天,QNAP 曾就以上安全問題與 Seamless Network 聯繫,表示該 2 個漏洞在 QTS 4.5.1 版本的、較新的 QNAP 型號已在 11 月作解決,但並不適合於其他正流行的舊機種,QNAP 回覆 Seamless Network 指出由於問題的嚴重性,他們也正在研究舊平台的修復程序,該修復程序將在未來幾週內提供。
最終,QNAP 在 4 月19 日發佈針對該 2 個漏洞的發出安全公告及更新,建議所有 QNAP 用戶立即修補漏洞,距離 Seamless Network 首次通報已超過半年,更詳細的過程可瀏覽︰https://securingsam.com/new-vulnerabilities-allow-complete-takeover/
關於 QNAP 的安全公告及 Firmware 更新︰
https://www.qnap.com/en/security-advisory/qsa-21-05
https://www.qnap.com/en/security-advisory/qsa-21-11
Seamless Network 針對 QNAP 漏洞的披露時間表︰
https://securingsam.com/new-vulnerabilities-allow-complete-takeover/