某网络装备供应商RoonServer权限认证误差与下令注入误差预警

首页 > 清静研究 > 清静转达 > 清静事务响应

某网络装备供应商RoonServer权限认证误差与下令注入误差预警

宣布时间 2021-06-11

2021年5月9日，，，凭证CNCERT物联网威胁情报数据平台的监测线索，，，凯旋国际游戏集团金睛清静研究团队联合CNCERT物联网清静研究团队发明2项零日误差的在野使用行为。。

经确认，，，这2项零日误差均保存于威联通（QNAP）产品的RoonServer应用中，，，划分是权限认证误差与下令注入误差，，，攻击者可以将这2个误差组合起来使用，，，以抵达未授权远程执行恣意下令的目的。。

我们将相关的误差剖析、复现报告实时报送给厂商QNAP，，，现在，，，QNAP已修复该误差，，，并升级应用软件。。

误差剖析

威联通科技，，，简称威联通，，，英语译名暨品牌名称为QNAP，，，为一间总部位于中国台湾的科技公司。。其产品包括网络附加存储装备、视频监控录像装备、网络交流机、无线路由器、无线/有线网卡和视频聚会装备等。。

误差原理

◆权限绕过误差（CVE-2021-28810）

由于应用对登录权限的验证保存误差，，，只要某参数保存且其值非空，，，即可绕过登录验证。。攻击者可自行结构特殊的请求举行绕过。。

◆下令注入误差（CVE-2021-28811）

当url中指定的action为特定值时，，，应用会吸收另一个参数的值，，，经由简朴的去除标签处置惩罚后，，，传入set_db_path函数。。跟踪set_db_path函数，，，可以看到此函数将其参数直接拼接到了shell_exec函数中执行，，，没有再举行任何过滤。。

将上述两个误差配合使用，，，即可造成未授权的恣意下令执行。。

在野攻击

我们划分在5月8日与5月18日捕获到两起使用此误差举行的在野攻击。。经太过析，，，确认攻击者实验植入的载荷为eCh0raix勒索软件。。

eCh0raix也被称为QNAPCrypt，，，最早在2019年泛起，，，是一个基于Go语言、专门针对威联通装备的勒索软件。。运行后，，，会加密装备上存储的文件，，，加密后扩展名是.encrypt。。加密完成后，，，还会释放一个叫README_FOR_DECRYPT.txt的文本文件，，，提醒受害者通过TOR支付赎金。。内容大致如下：

All your data has been locked(crypted).

How to unlock(decrypt) instruction located in this TOR website:

http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion/order/xxx

Use TOR browser for access .onion websites.

其中XXX是hash，，，用来标记唯一的受害者，，，TOR支付赎金的页面如下：

受影响固件版本

QNAP RoonServer 2021-02-01及之前版本。。

误差发明时间轴

? 2021年5月9日，，，我们发明了黑客使用威联通装备0Day误差撒播勒索软件eCh0raix的攻击行为。。

? 2021年5月12日，，，我们向厂商（QNAP）的清静团队报送了详细的误差剖析、复现报告，，，以资助他们修复产品。。

? 2021年5月14日，，，厂商确认误差保存，，，将误差应用从app center下架，，，并最先着手修复。。

? 2021年6月04日，，，厂商修复完成，，，QNAP官方重新在app center宣布修复后的应用。。

? 2021年6月08日，，，更新并确认CVE编号。。

解决计划

升级Roon Server到最新版本，，，详细请关注QNAP官方关于此误差的修复计划。。

https://www.qnap.com.cn/zh-cn/security-advisory/qsa-21-17

（注：本报告由CNCERT物联网清静研究团队与凯旋国际游戏集团金睛清静研究团队配合宣布。。）

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究