Cybersecuritybedrijf SAM Seamless Network ontdekte twee kwetsbaarheden in een QNAP-nas-systeem. Via beide kwetsbaarheden is het volgens SAM mogelijk om code op afstand uit te voeren. Het bedrijf laat weten dat QNAP op de hoogte is gesteld, maar geen oplossing heeft.
Volgens SAM Seamless Network lopen alle QNAP TS-231-systemen met firmwareversie 4.3.6.1446 gevaar. Deze firmware is op 20 september 2020 uitgekomen en het nas-systeem in kwestie wordt op de website van QNAP aangeduid als een end-of-life-product. Het cybersecuritybedrijf sluit niet uit dat andere modellen met recentere firmwareversies dezelfde kwetsbaarheden bevatten.
Bij de eerste kwetsbaarheid ontdekte SAM dat het mogelijk was om code uit te voeren bij de cgi-files van het QNAP-nas-systeem die niet om authenticatie vroegen. "We focusten ons op cgi-files die niet om authenticatie vroegen en vuurden daar aangepaste http-requests op af. Dat leidde in sommige gevallen tot een indirecte remote code execution", aldus het bedrijf. Volgens SAM kan QNAP deze kwetsbaarheid uit de wereld helpen door input sanitization toe te passen bij de belangrijkste processen en in de API-libraries.
De tweede kwetsbaarheid die SAM ontdekte, vindt plaats in de DLNA-server van het nas-systeem. Het DLNA-protocol wordt door de nas uitgevoerd als myupnpmediasvr op poort 8200 en verwerkt ook upnp-requests op diezelfde poort. Volgens SAM is het dan ook mogelijk voor hackers om op niet bestaande serverlocaties data te creëren en code op afstand uit te voeren op het nas-systeem.
Na het ontdekken van de kwetsbaarheden heeft SAM QNAP onmiddellijk op de hoogte gebracht en de standaard afgesproken uitstelperiode nageleefd voordat het met het nieuws naar buiten kwam. QNAP heeft volgens het cybersecuritybedrijf nog geen gevolg gegeven aan de kwetsbaarheden.