CVE-2022-24990

Суть уязвимости

CVE-2022-24990 представляет собой критическую уязвимость в операционной системе TerraMaster OS (TOS) версий до 4.2.29. Проблема заключается в недостаточной фильтрации входных данных в PHP-компоненте api.php.

Уязвимость позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код в системе (RCE). Атака реализуется путем отправки специально сформированного HTTP-запроса, содержащего команды ОС в параметрах, которые некорректно обрабатываются серверной частью. Часто эта уязвимость используется в связке с утечкой информации (например, CVE-2022-24989) для получения необходимых параметров сессии или системных данных.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление операционной системы TOS до версии 4.2.30 или выше.

1. Войдите в панель управления TOS под учетной записью администратора.
2. Перейдите в раздел «Панель управления» (Control Panel).
3. Выберите пункт «Обновление системы» (General Settings -> Update).
4. Нажмите кнопку «Проверить наличие обновлений» (Check for updates).
5. Если доступна версия 4.2.30 или новее, подтвердите установку.

Если автоматическое обновление недоступно, скачайте пакет обновления вручную с официального сайта TerraMaster и установите его через интерфейс:

https://download2.terra-master.com/TOS_S2.0_Update_ARM4.1_4.2.30_2203011629.bz2

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски следующими действиями:

1. Ограничьте доступ к веб-интерфейсу управления TOS из внешних сетей (Интернет).
2. Настройте правила межсетевого экрана, разрешив доступ к портам 8181 и 5443 только доверенным IP-адресам.
3. Отключите службу UPnP на роутере и в настройках NAS, чтобы предотвратить автоматический проброс портов.
4. Используйте VPN для удаленного доступа к устройству вместо прямой публикации HTTP/HTTPS портов.
5. Заблокируйте подозрительные запросы к api.php на уровне Reverse Proxy или WAF (Web Application Firewall), если они используются перед NAS.