Se han reportado 2 vulnerabilidades en el software TerraMaster TOS que permitirían a un atacante no autenticado obtener privilegios de administrador con el objetivo de realizar ejecución de código remoto (RCE).
Las vulnerabilidades reportadas son las siguientes:
- CVE-2022-24990 sin criticidad ni puntuación asignadas aún. Esta vulnerabilidad se debe a un fallo en las funciones llamadas «getDiskList», «createRaid», «getInstallStat», «getIsConfigAdmin», «setAdminConfig» y «isConnected» del componente webNasIPS. Esto permitiría a un atacante no autenticado obtener información sensible como la versión actual del firmware, la puerta de enlace IP, el MAC Address, los servicios activos y/o el hash del usuario administrador.
- CVE-2022-24989 sin criticidad ni puntuación asignadas aún. Esta vulnerabilidad es debida a un fallo en el componente “createRaid”. Esto permitiría a un atacante autenticado enviar una petición maliciosa con el objetivo de realizar ejecución remota de código en el sistema afectado.
Estas vulnerabilidades afectan las siguientes versiones:
- TerraMaster TOS versiones anteriores a la 4.2.31.
- TerraMaster TOS 4.1 hasta la 4.1.03.
Recomendamos actualizar a la última versión de TerraMaster TOS acorde a la siguiente guía:
Referencias:
- https://octagon.net/blog/2022/03/07/cve-2022-24990-terrmaster-tos-unauthenticated-remote-command-execution-via-php-object-instantiation/
- https://thehackernews.com/2022/03/critical-bugs-in-terramaster-tos-could.html
- https://alltech.news/cyber-security-news/critical-bugs-in-terramaster-tos-could-open-nas-devices-to-remote-hacking-67537
- https://thecybersecurity.news/general-cyber-security-news/critical-bugs-in-terramaster-tos-could-open-nas-devices-to-remote-hacking-17253/