QNAP предупреждает о критических уязвимостях на своих NAS-устройствах

QNAP предупреждает об уязвимостях в своих программных продуктах для NAS, включая QTS, QuTS hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.

Тайваньский производитель устройств сетевого хранения данных (NAS) раскрыл 3 уязвимости, что могут привести к обходу аутентификации, инъекции команд и SQL-инъекции.

В то время как последние два требуют аутентификации злоумышленников на целевой системе, что значительно снижает риск, первый (CVE-2024-21899) может быть выполнен удаленно без аутентификации и отмечен как «низкий уровень сложности».

Интересно: QNAP своевременно предотвратила распространенные атаки подбора пароля методом грубой силы

Три исправленных недостатка следующие:

  • CVE-2024-21899: Неправильные механизмы аутентификации позволяют неавторизованным пользователям нарушить безопасность системы через сеть (удаленно).
  • CVE-2024-21900: Эта уязвимость может позволить аутентифицированным пользователям выполнять произвольные команды в системе через сеть, что может привести к несанкционированному доступу или управлению системой.
  • CVE-2024-21901: Эта уязвимость может позволить аутентифицированным администраторам внедрить вредоносный SQL-код через сеть, потенциально нарушая целостность базы данных и манипулируя ее содержимым.

Эти уязвимости затрагивают различные версии операционных систем QNAP включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и сервис myQNAPcloud 1.0.x.

Пользователям рекомендуется обновиться до следующих версий, в которых устранены три недостатка:

  • QTS 5.1.3.2578 build 20231110 и более поздние версии
  • QTS 4.5.4.2627 build 20231225 и более поздние версии
  • QuTS hero h5.1.3.2578 build 20231110 и более поздние версии
  • QuTS hero h4.5.4.2626 build 20231225 и более поздние версии
  • QuTScloud c5.1.5.2651 и более поздние версии
  • myQNAPcloud 1.0.52 (2023/11/24) и более поздние версии

Для QTS, QuTS hero и QuTScloud пользователи должны войти в систему как администраторы, перейти в «Панель управления > Система > Обновление прошивки» и нажать «Проверить наличие обновления», чтобы запустить процесс автоматической установки.

Чтобы обновить myQNAPcloud, войдите в систему с правами администратора, откройте «App Center», нажмите на поле поиска и введите «myQNAPcloud» ENTER . Обновление должно появиться в результатах. Нажмите на кнопку «Обновить», чтобы начать обновление.

Интересно: Серьезная уязвимость PuTTY угрожает безопасности ваших серверов

На устройствах NAS часто хранятся большие объемы ценных данных для предприятий и частных лиц, включая конфиденциальную личную информацию, интеллектуальную собственность и критически важные бизнес-данные. В то же время они не подвергаются тщательному контролю, постоянно подключены к Интернету и могут использовать устаревшую прошивку.

По всем этим причинам устройства NAS часто становятся мишенью для кражи данных и вымогательства.

Лучший совет для владельцев NAS – всегда обновлять программное обеспечение, а еще лучше – не выставлять эти устройства в Интернет.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи
Web-шлюз Fortinet под угрозой. Уязвимы более 150 000 устройств
Серьезная уязвимость PuTTY угрожает безопасности ваших серверов
Какие дистрибутивы Linux были затронуты бэкдором XZ Utils?

Комментарии (0)