人生就是博

首页 > 清静研究 > 清静转达 > 清静事务响应

某网络装备供应商RoonServer权限认证误差与下令注入误差预警

宣布时间 2021-06-11

2021年5月9日，，凭证CNCERT物联网威胁情报数据平台的监测线索，，人生就是博集团金睛清静研究团队联合CNCERT物联网清静研究团队发明2项零日误差的在野使用行为。。

经确认，，这2项零日误差均保存于威联通（QNAP）产品的RoonServer应用中，，划分是权限认证误差与下令注入误差，，攻击者可以将这2个误差组合起来使用，，以抵达未授权远程执行恣意下令的目的。。

我们将相关的误差剖析、复现报告实时报送给厂商QNAP，，现在，，QNAP已修复该误差，，并升级应用软件。。

误差剖析

威联通科技，，简称威联通，，英语译名暨品牌名称为QNAP，，为一间总部位于中国台湾的科技公司。。其产品包括网络附加存储装备、视频监控录像装备、网络交流机、无线路由器、无线/有线网卡和视频聚会装备等。。

误差原理

◆权限绕过误差（CVE-2021-28810）

由于应用对登录权限的验证保存误差，，只要某参数保存且其值非空，，即可绕过登录验证。。攻击者可自行结构特殊的请求举行绕过。。

◆下令注入误差（CVE-2021-28811）

当url中指定的action为特定值时，，应用会吸收另一个参数的值，，经由简朴的去除标签处置惩罚后，，传入set_db_path函数。。跟踪set_db_path函数，，可以看到此函数将其参数直接拼接到了shell_exec函数中执行，，没有再举行任何过滤。。

将上述两个误差配合使用，，即可造成未授权的恣意下令执行。。

在野攻击

我们划分在5月8日与5月18日捕获到两起使用此误差举行的在野攻击。。经太过析，，确认攻击者实验植入的载荷为eCh0raix勒索软件。。

eCh0raix也被称为QNAPCrypt，，最早在2019年泛起，，是一个基于Go语言、专门针对威联通装备的勒索软件。。运行后，，会加密装备上存储的文件，，加密后扩展名是.encrypt。。加密完成后，，还会释放一个叫README_FOR_DECRYPT.txt的文本文件，，提醒受害者通过TOR支付赎金。。内容大致如下：

All your data has been locked(crypted).

How to unlock(decrypt) instruction located in this TOR website:

http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion/order/xxx

Use TOR browser for access .onion websites.

其中XXX是hash，，用来标记唯一的受害者，，TOR支付赎金的页面如下：

受影响固件版本

QNAP RoonServer 2021-02-01及之前版本。。

误差发明时间轴

? 2021年5月9日，，我们发明了黑客使用威联通装备0Day误差撒播勒索软件eCh0raix的攻击行为。。

? 2021年5月12日，，我们向厂商（QNAP）的清静团队报送了详细的误差剖析、复现报告，，以资助他们修复产品。。

? 2021年5月14日，，厂商确认误差保存，，将误差应用从app center下架，，并最先着手修复。。

? 2021年6月04日，，厂商修复完成，，QNAP官方重新在app center宣布修复后的应用。。

? 2021年6月08日，，更新并确认CVE编号。。

解决计划

升级Roon Server到最新版本，，详细请关注QNAP官方关于此误差的修复计划。。

https://www.qnap.com.cn/zh-cn/security-advisory/qsa-21-17

（注：本报告由CNCERT物联网清静研究团队与人生就是博集团金睛清静研究团队配合宣布。。）

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】