Los investigadores han revelado detalles de las vulnerabilidades de seguridad críticas en los dispositivos de almacenamiento conectado a la red (TNAS) de TerraMaster que podrían encadenarse para lograr la ejecución remota de código no autenticado con los privilegios más altos.
Los problemas residen en TOS, una abreviatura de TerraMaster Operating System, y «puede otorgar acceso a atacantes no autenticados a la caja de la víctima simplemente conociendo la dirección IP», dijo la firma etíope de investigación de seguridad cibernética. Redes octagonales‘, dijo Paulos Yibelo en un comunicado compartido con The Hacker News.
TOS es el Sistema operativo diseñado para dispositivos TNAS, lo que permite a los usuarios administrar el almacenamiento, instalar aplicaciones y hacer copias de seguridad de los datos. Después de la divulgación responsable, las fallas se corrigieron en TOS versión 4.2.30 lanzado la semana pasada el 1 de marzo de 2022.
Uno de los problemas, rastreado como CVE-2022-24990, se refiere a un caso de fuga de información en un componente llamado «webNasIPS», que resultó en la exposición de la versión de firmware de TOS, la dirección IP y MAC de la interfaz de puerta de enlace predeterminada y un hash de la contraseña de administrador.
La segunda deficiencia, por otro lado, se relaciona con una falla de inyección de comandos en un módulo PHP llamado «createRaid» (CVE-2022-24989), lo que resulta en un escenario donde los dos problemas se pueden unir para enviar un comando especialmente diseñado. para lograr la ejecución remota de código.
«En general, este fue un proyecto muy interesante», dijo Yibelo. «Hemos utilizado múltiples componentes de una fuga de información, junto con otra fuga de información del tiempo de la máquina, y la hemos encadenado con una inyección de comando de sistema operativo autenticado para lograr la ejecución remota de código no autenticado como root.
La revelación llega cuando los dispositivos TerraMaster NAS también han estado sujetos a Ataques de ransomware Deadboltuniéndose a QNAP y ASUSTOR, y la compañía señaló que abordó las vulnerabilidades que probablemente fueron explotadas por los actores de amenazas para implementar el ransomware en TOS versión 4.2.30.
No está claro de inmediato si el mismo conjunto de vulnerabilidades descubiertas por Octagon Networks se utilizó como arma para las infecciones de Deadbolt. Nos comunicamos con TerraMaster para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
«Se corrigió una vulnerabilidad de seguridad relacionada con el ataque de ransomware Deadbolt», la compañía señaladorecomendando a los usuarios «reinstalar la última versión del sistema TOS (4.2.30 o posterior) para evitar que los archivos sin cifrar continúen encriptados.