Podatność? (dostęp do danych na Qnap'ie bez autoryzacji)

arghaill

Passing Basics
Beginner
6 Listopad 2019
17
2
3
QNAP
TS-x31
Ethernet
1 GbE
Cześć

Dzisiaj podczas pracy na TS-231p przypadkiem rzuciło mi się coś w oko... a mianowicie - NIE będąc zalogowanym do dysku po HTTPS, ani nie posiadając żadnych danych logowania po smb na laptopie - wpisałem w adresie przeglądarki:


//uszkodziłem/zniekształciłem nieco link dla celów bezpieczeństwa

hatetepees(celowa zmiana bo mi tag URL wklejało)://[IP]/cgi-bin/filemanager/utilRequest.cgi/[tutaj_cos_trzeba_wpisac_ale_usunalem]?func=[tutaj_takze_cos_jest_ale_im_mniej_osob_to_zobaczy_tym_lepiej]&[odpowiednia_zmienna]=[ścieżka_docelowa_do_pliku]

i zgadnijcie... bez znajomości hasła (2FA także nie zareagowało) - wyświetliłem ZAWARTOŚĆ PLIKU! - i nie miało to znaczenia, że plik znajduje się w katalogu, którego lista uprawnień była pusta (nawet "adminowi" wycofałem próbnie uprawnienia)

Nie ma znaczenia, czy podchodzę do tematu po LAN'ie, czy po WAN'ie - w obu przypadkach działa (w tym drugim przypadku jest o tyle gorzej, że KAŻDY na świecie może testować to na MOIM Qnapie! - np. atak słownikowy na nazwy plików i katalogów)

Próba ustawienia blokady np. plikiem .htaccess nie przynosi efektu :-(

Czyżby znając ścieżkę oraz nazwę pliku docelowego, BEZ uwierzytelniania jest możliwy podgląd zawartości? nawet jeżeli plik znajduje się w katalogu, który z założenia ma NIE być dostępny przez sieć (ZERO uprawnień na katalogu - zablokowany dostęp dla "gościa")

W poniedziałek zweryfikuję jeszcze jak sprawa wygląda przy aktywnym szyfrowaniu dysku...

Czy ktoś zna już ten problem? Jest na to jakieś dobre rozwiązanie? (prócz oczywiście: zaszyfruj pliki zanim umieścisz je na Qnapie)

Jak ustawić urządzenie, by dostęp do plików posiadał JEDYNIE ZAUTORYZOWANY użytkownik? (podejście w stylu: "przecież nikt się nie domyśli jak nazywa się plik i gdzie się znajduje" - w dzisiejszych czasach już nie działa)

Pozdrawiam
darek
 
no nie wiem ... jak to zrobiłeś :O

ja robiąc to co masz na mysli dostaje JSONa

https://xxxx/cgi-bin/filemanager/utilRequest.cgi/dupa.mp4
JSON:
{ "version": "5.1.0", "build": "20190918", "status": 3, "success": "true" }


masz ostatni firmware wgrany ?
musisz odszyfrować dysk żeby qnap mógł z nim pracować , więc .. test failed :p
 
  • Wow
Reakcje: inspirewd
https://xxxx/cgi-bin/filemanager/utilRequest.cgi/dupa.mp4

w url'u potrzeba jeszcze między innymi wywołać stosowną zmienną i podać jej odpowiednią wartość, która zawsze jest taka sama, niezależnie od urządzenia (testowałem na trzech różnych Qnapach) i różnych plikach, do których chciałem uzyskać dostęp - celowo zaciemniłem kod, by komuś "kuku" ktoś nie zrobił, bo po publicznym adresie IP także to pieroństwo działa :-(

masz ostatni firmware wgrany ?

- naturalnie, że tak

Być może ktoś także na to trafił i zna sposób, by zablokować nieautoryzowany dostęp? Ewentualnie pozostaje mi możliwość napisania do producenta...

W poniedziałek poszperam trochu - może znajdę jakiś sposób, ale też nie chciałbym odkrywać "koła na nowo" - jeżeli jest już gotowe rozwiązanie.
 
arghaill, czy udało Ci się rozgryźć temat?

Trafiłem tutaj, ponieważ tak samo zaobserwowałem niepokojące zachowanie zasobów na qnapie (tvs-473e 4.4.1.1146):
1. mogę bez poświadczeń podmapować na kompie dowolny folder
2. po stronie kompa w zabezpieczeniach oprócz kont qnapa mam wszyscy z pełnymi prawami :(
3. po stronie qnapa everyone ma zabrany dostęp do wszystkiego
4. po stronie qnapa zaawansowane prawa dostępy - wyłączone
5. po stronie qnapa "prawa dostępu do gościa" - brak dostępu
6. po stronie qnapa w opcjach zaawansowanych w win usług plikowych "ograniczaj anonimowym użytkownikom dostęp do folderów udostępnionych SMB" - Włączone (ścisle): tylko uwierzytelnieni użytkownicy mogą wyświetlać listę folderów udostępnionych. Konto gościa nie ma dostępu do żadnych folderów udostęnionych"

Wcześniej byłem użytkownikiem kilku S i tam nigdy mnie coś tak dziwnego nie spotkało.
Qnap staje się w swoich ustawieniach dla mnie nielogiczny. Nie chcę na oślep szukać kolejnych opcji... czy ktoś ma jakiś pomysł?
 
arghaill, czy udało Ci się rozgryźć temat?
Niestety nie udało się... rozwiązałem problem poprzez VPN'a na firewallach. Zauważyłem, że problem u mnie pojawiał się jedynie na urządzeniach, które mam wystawione "na świat" (dostęp ze zdalnej lokalizacji do FileStation dla np. architektów). Przykładowa "ścieżka" jest nieosiągalna dopóty, dopóki ktoś z uprawnionych osób nie zaloguje się z zewnątrz... po Jej/Jego wylogowaniu przez jakiś czas (nie mierzyłem tego) dostęp do dowolnego pliku (przy odpowiednim sparametryzowaniu url'a) jest możliwy. VPN załatwił mi sprawę... z zewnątrz Qnap'a nie widać, po nawiązaniu tunelu zezwalam na HTTPS do konkretnego IP -> póki co działa bez zarzutu
QTS 4.3.6.1154 build 20191212
[Fixed Issues]
- Fixed a vulnerability in File Station concerning improper link resolution (CVE-2019-7183)

Czyżby?
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. prawa dostępu