[レポート]NAS as Not As Secure（NASはそれほど安全ではない） – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021の下記セッションのレポートです。

NAS as Not As Secure（NASはそれほど安全ではない）

QNAPデバイスに対する最近のランサムウェア攻撃により、エンドユーザーの間で大きな騒動が巻き起こった。この講演では、QLockerが使用した脆弱性に関する公開情報から得られたわれわれの研究成果である、QNAP NASエコシステムでの解析手法や、新たに発見したRCE（Remote Code Execution）を紹介する。その後、QNAPの企業向け製品であるQSANをさらに解析、その過程で30以上の脆弱性（CVE）を発見した。その中にはQNAP NASと同様にQSANを乗っ取るものもある。この講演では、NASやSANのシェルを奪取する方法だけでなく、これらのデバイスをさらにセキュアにする方法も紹介する。それは、安全なシステムを構築するためのベンダーへのアドバイスであり、最終的には、企業と一般のエンドユーザーの双方がデバイスをセキュアにするためのアドバイスでもある。

Presented by :
タルン・イェン - Ta-Lun Yen
シャーリー・クオ - Shirley Kuo

レポート

• NAS はそれほど安全ではないという話

タルン・イェン - Ta-Lun Yen さん

• 背景
  • NAS デバイスに対してランサムウェア攻撃が増加している
  • NAS には貴重なデータがある
  • 設定がセキュアになっていないことがある
• QNAP デバイスに対する最近のランサムウェア攻撃として Qlocker がある
• SNS でも Qlocker の情報がある
• QNAP の調査は古いバージョンで実施
  • bookdoor らしきものが存在することが分かった
• Malware Remover
• HBS3
  • ローカル NAS とクラウドの同期を行うもの
  • サーバ側で多くの Handler がある
  • 外部コマンドを実行できるようになっていた
• デモ
  • 古いバージョンの QNAP に攻撃をするデモ

シャーリー・クオ - Shirley Kuo さん

• パストラーバサルの脆弱性
  • CVSS スコア 8.8
• 脆弱性発見までのプロセス
  • オンラインで利用できる QNAP サービスで検証
  • かなりの時間をかけてパッケージを調査
  • テキストエディタ機能を調査
  • アップロードの際に CGI コマンドが利用される
    • ユーザのロールを特定
    • SID はアカウント権限に関わらず同じ長さ
    • ファイル名の前にスラッシュをつけることでパストラーバサル
  • 実際のデイバイスでも試した
    • テストエディタが入っていなかったので物理デバイスには攻撃できなかった
    • CGI とペイロードは機能していた
• 次の脆弱性：Bookdoor CVE-2021-28799
  • CVSS スコア 10.0
• 脆弱性発見までのプロセス
  • 物理デバイスを利用して調査
  • ネットーワークパケットを傍受
  • Google にも既に研究している方がいた
  • 他の CGI ファイルをチェック
    • かなりの時間をかけてコードをレビュー
    • backup というフォルダに hbs_mgnt.cgi を見つけた
• QSAN の脆弱性も発見している
  • ほとんどの脆弱税はコマンドインジェクション、パストラーバサルなど
  • コマンドインジェクションの脆弱性の説明
  • Hard-Coded Password の発見の説明
  • Improper Access Control の脆弱性の説明

感想

NAS はどの会社でも利用する可能性があるので、脆弱性については常に気をつける必要がありそうです。