Se descubrió que decenas de miles de dispositivos QNAP conectados a Internet tenían dos vulnerabilidades graves que podrían haber permitido a los actores de amenazas ejecutar código arbitrario.
Los investigadores de seguridad cibernética de Sternum utilizaron su producto de referencia de protección en tiempo de ejecución en el dispositivo QNAP TS-230 NAS (se abre en una pestaña nueva)y tan pronto como se activó el producto, comenzó a alertar a los investigadores sobre «múltiples violaciones de acceso a la memoria».
“En este caso, el motivo de la alerta fueron múltiples solicitudes de lectura y escritura fuera de los límites, realizadas por varias funciones memcpy”, explicaron los investigadores.
Problemas fuera de los límites
Al detallar sus hallazgos, los investigadores dijeron que en el archivo fuente api-cpp, la función int iface_status2interface_status contenía una llamada memcpy con un tamaño constante de 46, pero como el contenido de la cadena de origen para la llamada era una dirección IPv6 (que puede tener 39 bytes max), esto conduce a un posible problema fuera de los límites (OOB).
Además, el archivo fuente NetworkInterface.cpp tiene la función get_interface_slaac_info con cuatro llamadas memcpy con el tamaño de copia 46, que copia los valores JSON de los búferes devueltos por Json::Value::asCString. Los búferes de cadena a menudo eran más cortos que 46, dijo el investigador, lo que causa posibles problemas OOB en las cuatro llamadas memcpy.
Después de notificar a QNAP sobre sus hallazgos, la empresa reconoció los problemas y publicó dos CVE: CVE-2022-27597 y CVE-2022-27598. Estos muestran que las fallas afectaron a cuatro sistemas operativos: QTS, QuTS hero, QuTScloud y QVP (dispositivos QVR Pro). Aún no se han asignado los puntajes de gravedad para estas dos vulnerabilidades.
Según una estimación conservadora, dice Sternum, más de 80 000 dispositivos conectados en todo el mundo se ven afectados por estas dos vulnerabilidades de día cero.
El parche que lanzó QNAP ya corrigió las fallas en QTS 5.0.1.2346 compilación 20230322 (y posterior) y QuTS hero h5.0.1.2348 compilación 20230324 (y posterior).