Уязвимость в приложении позволяет скомпрометировать системы Netgear NAS

Исследователь безопасности компании Sysdream Labs Николас Чателейн (Nicolas Chatelain) сообщил об уязвимости в приложении ReadyNAS Surveillance, позволяющей неаутентифицированному пользователю удаленно выполнить произвольный код с правами суперпользователя на системах Netgear NAS. Эксплуатируя ошибку, злоумышленник также может загружать конфигурационные файлы ReadyNAS Surveillance.    

Как пояснил Чателейн, интерфейс CGI приложения не верифицирует вводимый пользователем параметр bfile POST-запроса и не проверяет, был ли пользователь аутентифицирован.

Несколько месяцев эксперт пытался связаться с Netgear и сообщить об уязвимости, и в конце января нынешнего года его попытки увенчались успехом. Компания опубликовала уведомление о проблеме и предложила временные меры для предотвращения ее эксплуатации злоумышленниками. Эксперты Netgear посоветовали отключить правила переадресации портов на устройствах ReadyNAS, где установлено уязвимое приложение.

В начале марта компания выпустила новую версию ReadyNAS Surveillance, исправляющую данную ошибку. Пользователям рекомендуется обновить ПО как можно скорее.    

ReadyNAS Surveillance – программное обеспечение для записи видео с камер видеонаблюдения. ПО инсталлируется непосредственно на сетевых хранилищах ReadyNAS и позволяет устанавливать систему видеонаблюдения с применением IP-камер различных типов.