Forscher haben Details zu kritischen Sicherheitslücken in TerraMaster Network-Attached Storage (TNAS)-Geräten bekannt gegeben, die verkettet werden können, um unautorisierte Remote-Code-Ausführung mit den höchsten Privilegien zu erreichen.
Die Schwachstellen befinden sich in TOS, einer Abkürzung für TerraMaster Operating System, und „können unautorisierten Angreifern Zugriff auf die Box des Opfers gewähren, indem sie einfach die IP-Adresse kennen“, sagte Paulos Yibelo vom äthiopischen Cybersicherheitsforschungsunternehmen Octagon Networks in einer Erklärung, die The Hacker News vorliegt.
TOS ist das Betriebssystem für TNAS-Appliances, mit dem die Nutzer/innen Speicherplatz verwalten, Anwendungen installieren und Daten sichern können. Nach dem Bekanntwerden der Schwachstellen wurden diese in der TOS-Version 4.2.30 behoben, die letzte Woche am 1. März 2022 veröffentlicht wurde.
Eine der Schwachstellen (CVE-2022-24990) betrifft ein Informationsleck in einer Komponente namens „webNasIPS“, durch das die TOS-Firmwareversion, die IP- und MAC-Adresse des Standardgateways und ein Hash des Administratorpassworts offengelegt werden.
Die zweite Schwachstelle betrifft eine Befehlsinjektionslücke im PHP-Modul „createRaid“ (CVE-2022-24989), die dazu führt, dass die beiden Schwachstellen miteinander verknüpft werden können, um einen speziell erstellten Befehl zu übermitteln, der Remotecodeausführung ermöglicht.
„Alles in allem war dies ein sehr interessantes Projekt“, sagte Yibelo. „Wir haben mehrere Komponenten eines Informationslecks zusammen mit einem weiteren Informationsleck über die Zeit des Rechners genutzt und mit einer authentifizierten OS-Befehlsinjektion gekoppelt, um eine unauthentifizierte Remotecodeausführung als Root zu erreichen.
Nach QNAP und ASUSTOR wurden nun auch TerraMaster NAS-Geräte Opfer von Deadbolt-Ransomware-Angriffen. Das Unternehmen gab an, dass es die Schwachstellen, die wahrscheinlich von den Angreifern ausgenutzt wurden, um die Ransomware einzusetzen, in der TOS-Version 4.2.30 behoben hat.
Es ist nicht klar, ob die von Octagon Networks entdeckten Schwachstellen auch für die Infektionen mit Deadbolt genutzt wurden. Wir haben TerraMaster um eine Stellungnahme gebeten und werden die Meldung aktualisieren, sobald wir eine Antwort erhalten.
„TerraMaster hat eine Sicherheitslücke im Zusammenhang mit der Deadbolt Ransomware-Attacke behoben und empfiehlt den Nutzern, „die neueste Version des TOS-Systems (4.2.30 oder höher) neu zu installieren, um zu verhindern, dass unverschlüsselte Dateien weiterhin verschlüsselt werden.