Mit ‘PAYLOAD’ getaggte Beiträge

QNAP-NAS: anfällig für cross-site-scripting (XSS)

Veröffentlicht: 21. Dezember 2012 in IT-Security, Netzwerke
Schlagwörter:, , , ,

Mir ist aufgefallen, dass in manchen Web-Anwendungen des QNAP-NAS nicht richtig geprüft wird, was übergeben wird.
So ist z.B. die Photostation und die TVStation anfällig für XSS.

[EDIT/ Nachtrag]
Die VideoStation ist ebenfalls für XSS anfällig wie ich eben gesehen habe.
http://192.168.100.125/videostation/search_result.php?query=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E&str_search_videos=Videos+suchen&type=videos

Besonders ‚toll‘ dabei ist, dass dieser Code gleich zweimal von der Suche der VideoStation ausgeführt wird…!!

QNAP-Videostation

QNAP-Videostation

Hierbei kann einem Anwender ein untergejubelter manipulierter Link zum Verhängnis werden.
Viele Anwender schöpfen generell keinen Verdacht, wenn im ersten Bereich des URL etwas vertrautes,
wie etwa die eigene Domain steht…

QNAP-Info

QNAP-Info


Beispiel Photostation:

http://192.168.123.110/photostation/album.php?foldername=“><script>alert(1)</script>

QNAP-Photostation

QNAP-Photostation


Ähnlich verhält sich die TVStation bei Eingaben in das Suchfeld:

Redirect zu google.de gefällig? Damit niemand sofort weiss wohin es geht jagen wir es als ascii-to-hex durch ;)

http://192.168.123.110/tvstation/#search/%3c%73%63%72%69%70%74%20%74%79%70%65%3d%22%74%65%78%74%2f%6a%61%76%61%73%63%72%69%70%74%22%3e%3c%21%2d%2d%73%65%74%54%69%6d%65%6f%75%74%28%22%73%65%6c%66%2e%6c%6f%63%61%74%69%6f%6e%2e%68%72%65%66%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%67%6f%6f%67%6c%65%2e%64%65%27%22%2c%32%30%29%3b%2f%2f%2d%2d%3e%3c%2f%73%63%72%69%70%74%3e

QNAP-TVStation

QNAP-TVStation

Ich konnte ebenso erfolgreich einen BeEF-Hook einbinden, mit dem ich dann bequem den Browser unter Kontrolle hatte.
Von da aus ist es nur noch ein Katzensprung um den Browser des Anwenders auf eine mit einem Metasploit-Payload verseuchte Website zu entführen…

QNAP-BeEF'ed

QNAP-BeEF’ed

Hier muss QNAP schnell und sofort nachbessern!

So lange sollte man sich gut überlegen, ob man Photostation und TVStation für die Außenwelt als erreichbar schalten sollte…


Update:

QNAP hat zumindest schon zugesagt einen Fix dafür im nächsten Update auszuliefern.
Ebenso hat sich das CERT (Computer Emergency Response Team) um Aaron Kaplan der Sache angenommen.
Zuletzt hatte ich dort einen FTP-Leak zu den Servern von Adobe, Axel-Springer, DFB, HSV, RedBull etc. gemeldet.

Ein enstprechender Bericht auf securityfocus.com zum aktuellen Fall wird noch folgen.

-Link http://forum.qnap.com/viewtopic.php?f=21&t=68631

QNAP-Antwort

QNAP-Antwort

Update 2 (06.06.2013)

Heute lese ich bei Twitter, dass nun auch Heise.de über die Sicherheitslücken in QNAP-Geräten berichtet.
Heise berichtet, dass QNAP bei Banken, Polizei und dem Militär zum Einsatz kommt.
Ich kann dies zum Beispiel für Banken bestätigen (eine große Bank in den USA hat bei mir mal eine indiv. Software
für das NAS geordert). Aber Shodanhq.com gibt sicher gerne genauere Auskunft ;-)

Was das Offensive Security-Team also rausgefunden hat ist nicht wirklich neu.

Wann macht QNAP die Systeme endlich sicher? Vielleicht wäre es ein Anfang den Leuten, die diese
Lücken finden auch zuzuhören, oder mal etwas wie eine kleine finanzielle Entlohnung für die Aufdeckung
anzubieten.

Man möchte sich nicht vorstellen, was böswillige Zeitgenossen im Cyberspace mit den gefundenen Sicherheitslücken
anstellen können. Und das obene von mir beschriebene ist nur die Spitze vom Eisberg…..