QNAP alerta sobre novos bugs em seus dispositivos NAS

QNAP alerta sobre novos bugs em seus dispositivos NAS, especialmente populares entre usuários domésticos e de pequenas empresas.

A QNAP, fabricante de dispositivos Networked Attached Storage (NAS) emitiu um aviso sobre bugs ainda não corrigidos nos produtos da empresa.

Os dispositivos NAS domésticos e de pequenos escritórios, que normalmente variam em tamanho de um pequeno dicionário a uma grande enciclopédia, fornecem a conveniência pronta para uso do armazenamento em nuvem, mas com o conforto de sua própria rede.

Falando livremente, um dispositivo NAS é como um servidor de arquivos antigo que se conecta diretamente à sua LAN, por isso é acessível e utilizável mesmo se sua conexão com a Internet estiver lenta ou quebrada.

Ao contrário de um servidor de arquivos antigo, no entanto, o sistema operacional e o software de serviço de arquivos são pré-instalados e pré-configurados para você, como parte do dispositivo, para que funcione.

Não há necessidade de aprender a instalar Linux e Samba, ou discutir licenças do Windows Server, ou especificar e construir um servidor próprio e administrá-lo.

As caixas NAS geralmente vêm com tudo o que você precisa (ou com slots de disco nos quais você adiciona suas próprias unidades de disco de capacidade adequada), portanto, você precisa fazer pouco mais do que conectar um cabo de alimentação ao NAS e conectar um cabo de rede do NAS para o seu roteador.

Não há necessidade de comprar uma unidade USB para cada laptop e desktop que você possui, porque o NAS pode ser compartilhado e usado simultaneamente por todos os dispositivos em sua LAN.

A configuração e o gerenciamento do NAS podem ser feitos de qualquer computador em sua rede, usando um navegador da Web para conversar com um servidor Web dedicado que está pronto e aguardando o próprio NAS.

Obviamente, a natureza fácil de usar e pronta para uso dos dispositivos NAS vem com seus próprios desafios:

  • E se o seu dispositivo NAS acabar acessível pela Internet? Mesmo em sua LAN, existe o risco de que um malware em um dispositivo interno possa danificar os dados compartilhados por todos os seus dispositivos, mas uma caixa NAS visível da Internet está em risco permanente de possíveis invasores em todo o mundo.
  • E se o software do sistema operacional no NAS tiver falhas de segurança? Muitas caixas NAS são baseadas em uma distribuição do Linux que é específica não apenas para o fornecedor, mas também para o dispositivo específico. Você pode não conseguir instalar as atualizações por conta própria, mesmo que consiga descobrir quais patches são necessários, portanto, você precisa contar com o fornecedor para obter atualizações.
  • E se o software do servidor web NAS tiver bugs de segurança? Você não pode escolher qual servidor web, ou qual versão, é usado para configurar e gerenciar o dispositivo. Mais uma vez, você normalmente precisa contar com o fornecedor para atualizações de segurança.

QNAP herda bugs do Apache

Os dispositivos da QNAP geralmente usam httpdo popular Apache HTTP Server Project , rodando em uma distribuição customizada do Linux.

Apache é o nome de uma base de software que cuida de um projeto de servidor web entre centenas de outros; embora muitas pessoas usem “Apache” como abreviação de servidor web, recomendamos que você não o faça, porque é confuso, mais como se referir a Windows como “Microsoft” ou para Java como “Oracle”.)

Há pouco mais de um mês, o Apache lançou a versão 2.4.53 de seu servidor HTTP, corrigindo vários bugs marcados com CVE, incluindo pelo menos dois que poderiam levar a travamentos ou até mesmo a execução remota de código (RCE).

Infelizmente, a QNAP ainda não lançou a atualização do HTTP Server 2.4.53 para seus próprios dispositivos, embora agora esteja alertando que dois dos bugs corrigidos, CVE-2022-22721 e CVE-2022-23943 , afetam alguns de seus produtos.

Felizmente, a exploração desses bugs depende de recursos no código do servidor HTTP que não são ativados por padrão em dispositivos QNAP e que você pode desativar temporariamente se os tiver ativado.

O que fazer?

Os bugs e suas soluções são:

  • CVE-2022-22721. Um cliente da Web enviando uma solicitação HTTP superdimensionada pode causar um estouro de buffer, provocando uma falha no servidor ou até mesmo levando a uma falha de execução de código explorável. Verifique se a configuração do servidor HTTP LimitXMLRequestBodyestá definida para 1 MByte (o padrão) ou inferior.
  • CVE-2022-23943. Se você ativou a mod_sedextensão Apache HTTP Server, que permite configurar regras de filtragem de conteúdo de entrada e saída, você pode estar vulnerável a erros de gerenciamento de memória se solicitações HTTP superdimensionadas (maiores que 2 Gbyte!) forem recebidas. Não temos certeza de por que você precisaria ativar mod_sed, mas a QNAP parece pensar que pode haver clientes que estão usando esse recurso. Verifique mod_sedse não está habilitado. (O nome mod_sedé uma abreviação de módulo de edição de fluxo , o que significa que ele pode aplicar regras de edição de texto a solicitações à medida que elas chegam ou a respostas pouco antes de serem enviadas.)

A QNAP diz que pretende corrigir seus dispositivos, prometendo que “lançará atualizações de segurança o mais rápido possível” , embora não queiramos adivinhar quando será, já que o próprio Apache disponibilizou os patches publicamente há pouco mais de cinco semanas atrás.

Você pode ficar de olho nas atualizações da QNAP através da página de Avisos de Segurança da empresa .

Enquanto isso, lembre-se de que é muito improvável que você queira que um NAS próprio seja acessível do lado da Internet do seu roteador, porque isso o deixaria diretamente exposto à verificação, descoberta e sondagem automatizadas por cibercriminosos.

Portanto, recomendamos as seguintes precauções também:

  • Não abra seus servidores de rede para a internet, a menos que você realmente queira. A QNAP tem conselhos sobre como evitar que seu dispositivo NAS receba conexões da Internet pública por engano, evitando assim que seu dispositivo seja acessado ou mesmo descoberto em primeiro lugar. Execute uma verificação semelhante para todos os dispositivos em sua rede, caso você tenha outros dispositivos privados que possam ser inadvertidamente “acionados” da Internet.
  • Não use Universal Plug-and-Play (UPnP). O UPnP parece muito útil, porque foi projetado para permitir que os roteadores se reconfigurem automaticamente para facilitar a configuração de novos dispositivos. Mas isso vem com enormes riscos, ou seja, que seu roteador pode inadvertidamente tornar alguns novos dispositivos visíveis através do roteador, abrindo-os inesperadamente para usuários não confiáveis ​​na Internet. Desative explicitamente o UPnP em todos os dispositivos que o suportam, inclusive no próprio roteador. Se você tiver um roteador com UPnP que não permite desligá-lo, compre um novo roteador.
Fonte: Naked Security Sophos

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. QNAP alerta sobre novos bugs em seus dispositivos NAS – Neotel Segurança Digital

Deixe sua opinião!