Критические ошибки в TerraMaster TOS позволяют удаленно взломать NAS устройства

Критические ошибки в TerraMaster TOS позволяют удаленно взломать NAS устройства

Брешь обнаружили киберэксперты из Эфиопии

Исследователи раскрыли подробности о критических уязвимостях безопасности в сетевых хранилищах TerraMaster (TNAS), которые могут эксплуатироваться последовательно для удаленного выполнения кода без проверки подлинности с самыми высокими привилегиями.

Проблемы связаны с TOS, аббревиатурой от TerraMaster Operating System, и «могут предоставить злоумышленникам, не прошедшим проверку подлинности, доступ к устройству жертвы, просто зная IP-адрес», — сказал Паулос Ибело, глава компании в области кибербезопасности из Эфиопии.

TOS — это операционная система, разработанная для устройств TNAS и позволяющая пользователям управлять хранилищем, устанавливать приложения и выполнять резервное копирование данных. После ответственного раскрытия уязвимости были исправлены в версии TOS 4.2.30, выпущенной е 1 марта 2022 года.

Первая уязвимость CVE-2022-24990, связана с утечкой информации в компоненте под названием «webNasIPS», в результате которого удаленный неавторизованный пользователь может узнать версию TOS прошивки, IP- и MAC-адреса шлюза по умолчанию, а также хэш пароль администратора.

Вторая уязвимость связана с недостатком внедрения команд в PHP модуль под названием «createRaid» (CVE-2022-24989). Комбинируя две уязвимости, злоумышленник может отправить специально созданную команду для удаленного выполнения кода.

TerraMaster NAS также подверглась атакам вымогателей Deadbolt , которые до этого взламывали сетевые хранилища QNAP и ASUSTOR. «Исправлена ​​уязвимость связанна с атакой программы-вымогателя Deadbolt», — отметила компания , рекомендовав пользователям «переустановить последнюю версию системы TOS (4.2.30 или новее), тем самым предотвратить дальнейшее шифрование незашифрованных файлов».


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!